{"id":1480166,"date":"2024-12-10T11:42:40","date_gmt":"2024-12-10T11:42:40","guid":{"rendered":"https:\/\/teknomers.com\/es\/campanas-de-phishing-y-malware-en-curso-en-diciembre-de-2024\/"},"modified":"2024-12-10T11:42:45","modified_gmt":"2024-12-10T11:42:45","slug":"campanas-de-phishing-y-malware-en-curso-en-diciembre-de-2024","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/campanas-de-phishing-y-malware-en-curso-en-diciembre-de-2024\/","title":{"rendered":"Campa\u00f1as de phishing y malware en curso en diciembre de 2024"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>10 de diciembre de 2024<\/span>\ue804<\/i>Las noticias de los piratas inform\u00e1ticos<\/span><\/span>An\u00e1lisis de malware\/amenaza cibern\u00e9tica<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los ciberatacantes nunca dejan de inventar nuevas formas de comprometer sus objetivos. Es por eso que las organizaciones deben mantenerse actualizadas sobre las \u00faltimas amenazas. <\/p>\n

A continuaci\u00f3n se ofrece un resumen r\u00e1pido de los ataques de phishing y malware actuales que necesita conocer para salvaguardar su infraestructura antes de que le alcancen.<\/p>\n

Ataque de d\u00eda cero: los archivos maliciosos corruptos evaden la detecci\u00f3n de la mayor\u00eda de los sistemas de seguridad <\/h2>\n

El equipo de analistas de CUALQUIER EJECUCI\u00d3N<\/a> recientemente comparti\u00f3 su an\u00e1lisis de un ataque de d\u00eda cero en curso<\/a>. Ha estado activo desde al menos agosto y, hasta el d\u00eda de hoy, la mayor\u00eda del software de detecci\u00f3n no lo aborda.<\/p>\n

El ataque implica el uso de documentos de Word y archivos ZIP intencionalmente da\u00f1ados con archivos maliciosos en su interior.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
VirusTotal muestra 0 detecciones para uno de los archivos corruptos<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Debido a la corrupci\u00f3n, los sistemas de seguridad no pueden identificar adecuadamente el tipo de estos archivos y ejecutar an\u00e1lisis sobre ellos, lo que resulta en cero detecciones de amenazas.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Word preguntar\u00e1 al usuario si desea restaurar un archivo da\u00f1ado<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Una vez que estos archivos se entregan a un sistema y se abren con sus aplicaciones nativas (Word para docx y WinRAR para zip), se restauran y presentan a la v\u00edctima contenidos maliciosos.<\/p>\n

El sandbox ANY.RUN es una de las pocas herramientas que detecta esta amenaza. Permite a los usuarios abrir manualmente archivos maliciosos corruptos dentro de una m\u00e1quina virtual en la nube totalmente interactiva con sus aplicaciones correspondientes y restaurarlos. Esto le permite ver qu\u00e9 tipo de carga \u00fatil contiene el archivo. <\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Un documento restaurado con un c\u00f3digo QR de phishing analizado dentro del sandbox de ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Verificar esta sesi\u00f3n de espacio aislado<\/a> con un documento de Word corrupto. Despu\u00e9s de la recuperaci\u00f3n, podemos ver que hay un c\u00f3digo QR con un enlace de phishing incrustado.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
El Sandbox interactivo de ANY.RUN marca el documento y su contenido como maliciosos<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El entorno de pruebas identifica autom\u00e1ticamente la actividad maliciosa y le notifica al respecto. <\/p>\n

\n

Pruebe el Sandbox interactivo de ANY.RUN para ver c\u00f3mo puede acelerar y mejorar su an\u00e1lisis de malware. <\/p>\n

Obtenga una prueba de 14 d\u00edas para probar todas sus funciones avanzadas de forma gratuita \u2192<\/a><\/p>\n<\/div>\n

Un ataque de malware sin archivos a trav\u00e9s de un script de PowerShell distribuye Quasar RAT<\/h2>\n

Otro ataque reciente notable<\/a> Implica el uso de un cargador sin archivos llamado Psloramyra, que coloca Quasar RAT en los dispositivos infectados.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
ANY.RUN identifica PSLoramyra y sus acciones maliciosas<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Esta sesi\u00f3n de espacio aislado<\/a> muestra c\u00f3mo, despu\u00e9s de establecerse inicialmente en el sistema, el cargador Psloramyra emplea una t\u00e9cnica LoLBaS (Living off the Land Binaries and Scripts) para iniciar un script de PowerShell. <\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Un \u00e1rbol de procesos en ANY.RUN que muestra toda la cadena de ejecuci\u00f3n.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El script carga una carga maliciosa din\u00e1micamente en la memoria, identifica y utiliza el m\u00e9todo Execute del ensamblado .NET cargado y finalmente inyecta Quasar en un proceso leg\u00edtimo como RegSvcs.exe.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
El sandbox ANY.RUN registra toda la actividad de la red e identifica la conexi\u00f3n C2 de Quasar.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El malware funciona completamente dentro de la memoria del sistema, lo que garantiza que no deja rastros en el disco f\u00edsico. Para mantener su presencia, crea una tarea programada que se ejecuta cada dos minutos. <\/p>\n

Abuso de Azure Blob Storage en ataques de phishing<\/h2>\n

Los ciberdelincuentes ahora alojan p\u00e1ginas de phishing en la soluci\u00f3n de almacenamiento en la nube de Azure, aprovechando el archivo *.blob.[.]centro[.]ventanas[.]subdominio neto. <\/p>\n

Los atacantes utilizan un script para obtener informaci\u00f3n sobre el software de la v\u00edctima, como el sistema operativo y el navegador, que se encuentra en la p\u00e1gina para que parezca m\u00e1s confiable. ver ejemplo<\/a>.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Formulario de inicio de sesi\u00f3n falso que solicita al usuario que ingrese su informaci\u00f3n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El objetivo del ataque es enga\u00f1ar a la v\u00edctima para que introduzca sus credenciales de inicio de sesi\u00f3n en un formulario falso, que luego se recopilan y exfiltran.<\/p>\n

Emmenhtal Loader utiliza scripts para distribuir Lumma, Amadey y otros programas maliciosos<\/h2>\n

Emmenhtal es una amenaza emergente que ha estado involucrada en varias campa\u00f1as durante el a\u00f1o pasado. En uno de los \u00faltimos ataques, los delincuentes utilizan scripts para facilitar la cadena de ejecuci\u00f3n que implica los siguientes pasos: <\/p>\n