{"id":1473883,"date":"2024-12-06T07:53:06","date_gmt":"2024-12-06T07:53:06","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-aprovechan-los-tuneles-de-cloudflare-y-dns-fast-flux-para-ocultar-el-malware-gammadrop\/"},"modified":"2024-12-06T07:53:10","modified_gmt":"2024-12-06T07:53:10","slug":"hackers-aprovechan-los-tuneles-de-cloudflare-y-dns-fast-flux-para-ocultar-el-malware-gammadrop","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-aprovechan-los-tuneles-de-cloudflare-y-dns-fast-flux-para-ocultar-el-malware-gammadrop\/","title":{"rendered":"Hackers aprovechan los t\u00faneles de Cloudflare y DNS Fast-Flux para ocultar el malware GammaDrop"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 de diciembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias de los piratas inform\u00e1ticos<\/span><\/span><span class=\"p-tags\">Inteligencia de amenazas\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Hackers-aprovechan-los-tuneles-de-Cloudflare-y-DNS-Fast-Flux-para.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Se ha observado que el actor de amenazas conocido como Gamaredon aprovecha Cloudflare Tunnels como t\u00e1ctica para ocultar su infraestructura de prueba que alberga un malware llamado GammaDrop.<\/p>\n<p>La actividad es parte de una campa\u00f1a de phishing dirigida a entidades ucranianas desde al menos principios de 2024 y que est\u00e1 dise\u00f1ada para eliminar el malware Visual Basic Script, dijo Insikt Group de Recorded Future en un nuevo an\u00e1lisis.<\/p>\n<p>La empresa de ciberseguridad est\u00e1 rastreando al actor de amenazas con el nombre de BlueAlpha, que tambi\u00e9n se conoce como Aqua Blizzard, Armageddon, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 y Winterflounder. El grupo, que se cree que est\u00e1 activo desde 2014, est\u00e1 afiliado al Servicio Federal de Seguridad (FSB) de Rusia.<\/p>\n<p>&#8220;BlueAlpha ha comenzado recientemente a utilizar Cloudflare Tunnels para ocultar la infraestructura de prueba utilizada por GammaDrop, una t\u00e9cnica cada vez m\u00e1s popular utilizada por grupos de amenazas cibercriminales para implementar malware&#8221;, Insikt Group <a rel=\"noopener nofollow\" href=\"https:\/\/www.recordedfuture.com\/research\/bluealpha-abuses-cloudflare-tunneling-service\" target=\"_blank\">anotado<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;BlueAlpha contin\u00faa utilizando el sistema de nombres de dominio (DNS) <a rel=\"noopener nofollow\" href=\"https:\/\/attack.mitre.org\/techniques\/T1568\/001\/\" target=\"_blank\">de flujo r\u00e1pido<\/a> de la infraestructura de comando y control (C2) de GammaLoad para complicar el seguimiento y la interrupci\u00f3n de las comunicaciones C2 para preservar el acceso a los sistemas comprometidos&#8221;.<\/p>\n<p>El uso del t\u00fanel Cloudflare por parte del adversario fue <a rel=\"noopener nofollow\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/cyberespionage-gamaredon-way-analysis-toolset-used-spy-ukraine-2022-2023\/\" target=\"_blank\">previamente documentado<\/a> por la empresa eslovaca de ciberseguridad ESET en septiembre de 2024, como parte de ataques dirigidos a Ucrania y varios pa\u00edses de la OTAN, a saber, Bulgaria, Letonia, Lituania y Polonia.<\/p>\n<p>Tambi\u00e9n caracteriz\u00f3 el oficio del actor de amenazas como imprudente y no particularmente centrado en el sigilo, a pesar de que se esfuerzan por &#8220;evitar ser bloqueados por productos de seguridad y se esfuerzan mucho por mantener el acceso a los sistemas comprometidos&#8221;.<\/p>\n<p>&#8220;Gamaredon intenta preservar su acceso implementando m\u00faltiples descargadores simples o puertas traseras simult\u00e1neamente&#8221;, agreg\u00f3 ESET. &#8220;La falta de sofisticaci\u00f3n de las herramientas de Gamaredon se compensa con actualizaciones frecuentes y el uso de ofuscaciones que cambian peri\u00f3dicamente&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1733471585_543_Hackers-aprovechan-los-tuneles-de-Cloudflare-y-DNS-Fast-Flux-para.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1733471585_543_Hackers-aprovechan-los-tuneles-de-Cloudflare-y-DNS-Fast-Flux-para.png\" alt=\"\" border=\"0\" data-original-height=\"1854\" data-original-width=\"2000\"\/><\/a><\/div>\n<p>Las herramientas est\u00e1n dise\u00f1adas principalmente para robar datos valiosos de aplicaciones web que se ejecutan en navegadores de Internet, clientes de correo electr\u00f3nico y aplicaciones de mensajer\u00eda instant\u00e1nea como Signal y Telegram, as\u00ed como descargar cargas \u00fatiles adicionales y propagar el malware a trav\u00e9s de unidades USB conectadas.<\/p>\n<ul>\n<li>PteroPSLoad, PteroX, PteroSand, PteroDash, PteroRisk y PteroPowder: descargar cargas \u00fatiles<\/li>\n<li>PteroCDrop: soltar cargas \u00fatiles de Visual Basic Script<\/li>\n<li>PteroClone: \u200b\u200bentregue cargas \u00fatiles utilizando la utilidad rclone<\/li>\n<li>PteroLNK &#8211; Armar unidades USB conectadas<\/li>\n<li>PteroDig &#8211; Arma archivos LNK en la carpeta Escritorio para persistencia<\/li>\n<li>PteroSocks: proporciona funcionalidad de proxy SOCKS parcial<\/li>\n<li>PteroPShell, ReVBShell: funciona como un shell remoto<\/li>\n<li>PteroPSDoor, PteroVDoor: extrae archivos espec\u00edficos del sistema de archivos<\/li>\n<li>PteroScreen: captura y extrae capturas de pantalla<\/li>\n<li>PteroSteal: extrae las credenciales almacenadas por los navegadores web<\/li>\n<li>PteroCookie: extrae las cookies almacenadas por los navegadores web<\/li>\n<li>PteroSig: extrae datos almacenados por la aplicaci\u00f3n Signal<\/li>\n<li>PteroGram: extrae datos almacenados por la aplicaci\u00f3n Telegram<\/li>\n<li>PteroBleed: extrae datos almacenados por versiones web de Telegram y WhatsApp de Google Chrome, Microsoft Edge y Opera<\/li>\n<li>PteroScout &#8211; Informaci\u00f3n del sistema de exfiltraci\u00f3n<\/li>\n<\/ul>\n<p>El \u00faltimo conjunto de ataques destacados por Recorded Future implica el env\u00edo de correos electr\u00f3nicos de phishing con archivos adjuntos HTML, que aprovechan una t\u00e9cnica llamada contrabando de HTML para activar el proceso de infecci\u00f3n a trav\u00e9s de c\u00f3digo JavaScript incrustado.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/INTERPOL-detiene-a-5500-personas-en-campana-mundial-contra-la.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los archivos adjuntos HTML, cuando se abren, sueltan un archivo 7-Zip (&#8220;56-27-11875.rar&#8221;) que incluye un archivo LNK malicioso, que utiliza mshta.exe para entregar GammaDrop, un gotero HTA responsable de escribir en el disco. un cargador personalizado llamado GammaLoad, que posteriormente establece contacto con un servidor C2 para recuperar malware adicional.<\/p>\n<p>El artefacto GammaDrop se recupera de un servidor provisional que se encuentra detr\u00e1s de un t\u00fanel de Cloudflare alojado en el dominio amsterdam-sheet-veteran-aka.trycloudflare.[.]com.<\/p>\n<p>Por su parte, GammaLoad hace uso de proveedores de DNS sobre HTTPS (DoH) como Google y Cloudflare para resolver la infraestructura C2 cuando falla el DNS tradicional. Tambi\u00e9n emplea una t\u00e9cnica DNS de flujo r\u00e1pido para recuperar la direcci\u00f3n C2 si falla el primer intento de comunicarse con el servidor.<\/p>\n<p>&#8220;Es probable que BlueAlpha contin\u00fae perfeccionando las t\u00e9cnicas de evasi\u00f3n aprovechando servicios leg\u00edtimos y ampliamente utilizados como Cloudflare, complicando la detecci\u00f3n de los sistemas de seguridad tradicionales&#8221;, dijo Recorded Future.<\/p>\n<p>&#8220;Las mejoras continuas en el contrabando de HTML y la persistencia basada en DNS probablemente plantear\u00e1n desaf\u00edos en evoluci\u00f3n, especialmente para las organizaciones con capacidades limitadas de detecci\u00f3n de amenazas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/12\/hackers-leveraging-cloudflare-tunnels.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 de diciembre de 2024\ue804Las noticias de los piratas inform\u00e1ticosInteligencia de amenazas\/malware Se ha observado que el actor<\/p>\n","protected":false},"author":1,"featured_media":1473884,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,38098,4661,56939,4664,28703,266432,266433,6369,201033,36,4669,4654,201031,4659,4653,4655,20874,18,246983,255454,246984,201032,48801,246982,4660],"class_list":["post-1473883","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovechan","tag-ataques-ciberneticos","tag-cloudflare","tag-como-hackear","tag-dns","tag-fastflux","tag-gammadrop","tag-hackers","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ocultar","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-tuneles","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1473883","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1473883"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1473883\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1473884"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1473883"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1473883"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1473883"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}