Un grupo de actividades de amenazas no documentado previamente denominado Minotauro de la Tierra<\/strong> est\u00e1 aprovechando el kit de explotaci\u00f3n MOONSHINE y una puerta trasera de Android con Windows no declarada llamada DarkNimbus para facilitar operaciones de vigilancia a largo plazo dirigidas a tibetanos y uigures.<\/p>\n “Earth Minotaur utiliza MOONSHINE para ofrecer la puerta trasera DarkNimbus a dispositivos Android y Windows, apuntando a WeChat y posiblemente convirti\u00e9ndolo en una amenaza multiplataforma”, dijeron los investigadores de Trend Micro Joseph C Chen y Daniel Lunghi. dicho<\/a> en un an\u00e1lisis publicado hoy.<\/p>\n “MOONSHINE explota m\u00faltiples vulnerabilidades conocidas en navegadores y aplicaciones basados \u200b\u200ben Chromium, lo que requiere que los usuarios actualicen el software peri\u00f3dicamente para evitar ataques”.<\/p>\n Los pa\u00edses afectados por los ataques del Minotauro Terrestre abarcan Australia, B\u00e9lgica, Canad\u00e1, Francia, Alemania, India, Italia, Jap\u00f3n, Nepal, Pa\u00edses Bajos, Noruega, Rusia, Espa\u00f1a, Suiza, Taiw\u00e1n, Turqu\u00eda y Estados Unidos.<\/p>\n LUZ DE LA LUNA sali\u00f3 a la luz por primera vez<\/a> en septiembre de 2019 como parte de ataques cibern\u00e9ticos dirigidos a la comunidad tibetana, y Citizen Lab atribuye su uso a un operador al que rastrea bajo el nombre de POISON CARP, que se superpone con grupos de amenazas. Tierra Empusa y Mal de Ojo<\/a>.<\/p>\n Se sabe que un kit de exploits basado en Android utiliza varios exploits del navegador Chrome con el objetivo de implementar cargas \u00fatiles que pueden desviar datos confidenciales de los dispositivos comprometidos. En particular, incorpora c\u00f3digo para apuntar a varias aplicaciones como Google Chrome, Naver y aplicaciones de mensajer\u00eda instant\u00e1nea como LINE, QQ, WeChat y Zalo que incorporan un navegador dentro de la aplicaci\u00f3n.<\/p>\n Earth Minotaur, seg\u00fan Trend Micro, no tiene conexiones directas con Earth Empusa. Dirigido principalmente a las comunidades tibetanas y uigures, se ha descubierto que el actor de amenazas utiliza una versi\u00f3n mejorada de MOONSHINE para infiltrarse en los dispositivos de las v\u00edctimas y posteriormente infectarlos con DarkNimbus.<\/p>\n La nueva variante agrega a su arsenal de exploits CVE-2020-6418, una vulnerabilidad de confusi\u00f3n de tipos en el motor JavaScript V8 que Google parch\u00f3 en febrero de 2020 luego de informes de que se hab\u00eda convertido en un arma de d\u00eda cero.<\/p>\n “Earth Minotaur env\u00eda mensajes cuidadosamente elaborados a trav\u00e9s de aplicaciones de mensajer\u00eda instant\u00e1nea para atraer a las v\u00edctimas a hacer clic en un enlace malicioso incrustado”, dijeron los investigadores. “Se disfrazan de personajes diferentes en los chats para aumentar el \u00e9xito de sus ataques de ingenier\u00eda social”.<\/p>\n Los enlaces falsos conducen a uno de al menos 55 servidores del kit de explotaci\u00f3n MOONSHINE que se encargan de instalar la puerta trasera DarkNimbus en los dispositivos del objetivo.<\/p>\n En un inteligente intento de enga\u00f1o, estas URL se hacen pasar por enlaces aparentemente inocuos, pretendiendo ser anuncios relacionados con China o relacionados con videos en l\u00ednea de m\u00fasica y danzas tibetanas o uigures.<\/p>\n “Cuando una v\u00edctima hace clic en un enlace de ataque y es redirigida al servidor del kit de explotaci\u00f3n, reacciona seg\u00fan la configuraci\u00f3n integrada”, dijo Trend Micro. “El servidor redirigir\u00e1 a la v\u00edctima al enlace leg\u00edtimo enmascarado una vez finalizado el ataque para evitar que la v\u00edctima note cualquier actividad inusual”.<\/p>\n En situaciones en las que el navegador Tencent basado en Chromium no es susceptible a ninguno de los exploits admitidos por MOONSHINE, el servidor del kit est\u00e1 configurado para devolver una p\u00e1gina de phishing que alerta al usuario de WeChat que el navegador dentro de la aplicaci\u00f3n (un versi\u00f3n personalizada<\/a> de Android WebView llamado Xcaminar<\/a>) est\u00e1 desactualizado y debe actualizarse haciendo clic en el enlace de descarga proporcionado.<\/p>\n Esto da como resultado un ataque de degradaci\u00f3n del motor del navegador, lo que permite al actor de la amenaza aprovechar el marco MOONSHINE explotando las fallas de seguridad no parcheadas.<\/p>\n Un ataque exitoso hace que se implante una versi\u00f3n troyanizada de XWalk en el dispositivo Android y reemplace su contraparte leg\u00edtima dentro de la aplicaci\u00f3n WeChat, lo que en \u00faltima instancia allana el camino para la ejecuci\u00f3n de DarkNimbus.<\/p>\n Se cree que ha sido desarrollada y actualizada activamente desde 2018, la puerta trasera utiliza el protocolo XMPP para comunicarse con un servidor controlado por un atacante y admite una lista exhaustiva de comandos para aspirar informaci\u00f3n valiosa, incluidos metadatos del dispositivo, capturas de pantalla, marcadores del navegador, historial de llamadas telef\u00f3nicas, contactos, mensajes SMS, geolocalizaci\u00f3n, archivos, contenido del portapapeles y una lista de aplicaciones instaladas.<\/p>\n Tambi\u00e9n es capaz de ejecutar comandos de shell, grabar llamadas telef\u00f3nicas, tomar fotograf\u00edas y abusar de los permisos de los servicios de accesibilidad de Android para recopilar mensajes de DingTalk, MOMO, QQ, Skype, TalkBox, Voxer, WeChat y WhatsApp. Por \u00faltimo, pero no menos importante, puede desinstalarse del tel\u00e9fono infectado.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Los-piratas-informaticos-atacan-a-uigures-y-tibetanos-con-el.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n