El actor de amenazas alineado con Corea del Norte conocido como Kimsuky<\/strong> se ha vinculado a una serie de ataques de phishing que implican el env\u00edo de mensajes de correo electr\u00f3nico que se originan en direcciones de remitentes rusos para, en \u00faltima instancia, llevar a cabo el robo de credenciales.<\/p>\n “Los correos electr\u00f3nicos de phishing se enviaban principalmente a trav\u00e9s de servicios de correo electr\u00f3nico en Jap\u00f3n y Corea hasta principios de septiembre”, dijo la empresa surcoreana de ciberseguridad Genians. dicho<\/a>. “Luego, desde mediados de septiembre, se observaron algunos correos electr\u00f3nicos de phishing disfrazados como si hubieran sido enviados desde Rusia”.<\/p>\n Esto implica el abuso del servicio de correo electr\u00f3nico Mail.ru de VK, que admite cinco dominios de alias diferentes, incluidos mail.ru, internet.ru, bk.ru, inbox.ru y list.ru.<\/p>\n Genians dijo que ha observado a los actores de Kimsuky aprovechar todos los dominios de remitente antes mencionados para campa\u00f1as de phishing que se hacen pasar por instituciones financieras y portales de Internet como Naver.<\/p>\n Otros ataques de phishing han implicado el env\u00edo de mensajes que imitan el servicio de almacenamiento en la nube MYBOX de Naver y tienen como objetivo enga\u00f1ar a los usuarios para que hagan clic en enlaces induciendo una falsa sensaci\u00f3n de urgencia de que se han detectado archivos maliciosos en sus cuentas y que necesitan eliminarlos.<\/p>\n Desde finales de abril de 2024 se han registrado variantes de correos electr\u00f3nicos de phishing con tem\u00e1tica MYBOX, y las primeras oleadas emplearon dominios japoneses, coreanos y estadounidenses para las direcciones de los remitentes.<\/p>\n Si bien estos mensajes aparentemente fueron enviados desde dominios como “mmbox[.]ru” y “ncloud[.]ru”, un an\u00e1lisis m\u00e1s detallado ha revelado que el actor de amenazas aprovech\u00f3 un servidor de correo electr\u00f3nico comprometido perteneciente a la Universidad Evangelia (evangelia[.]edu) para enviar los mensajes utilizando un servicio de correo basado en PHP llamado Star.<\/p>\n Vale la pena se\u00f1alar que el uso de Kimsuky de herramientas de correo electr\u00f3nico leg\u00edtimas como PHPMailer y Star fue documentado previamente por la firma de seguridad empresarial Proofpoint en noviembre de 2021.<\/p>\n El objetivo final de estos ataques, seg\u00fan Genians, es llevar a cabo el robo de credenciales, que luego podr\u00edan usarse para secuestrar las cuentas de las v\u00edctimas y utilizarlas para lanzar ataques posteriores contra otros empleados o conocidos.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Los-piratas-informaticos-norcoreanos-de-Kimsuky-utilizan-direcciones-de-correo.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n