{"id":1491933,"date":"2024-12-18T01:33:34","date_gmt":"2024-12-18T01:33:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-aprovechan-webview2-para-implementar-el-malware-coinlurker-y-evadir-la-deteccion-de-seguridad\/"},"modified":"2024-12-18T01:33:38","modified_gmt":"2024-12-18T01:33:38","slug":"los-piratas-informaticos-aprovechan-webview2-para-implementar-el-malware-coinlurker-y-evadir-la-deteccion-de-seguridad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-aprovechan-webview2-para-implementar-el-malware-coinlurker-y-evadir-la-deteccion-de-seguridad\/","title":{"rendered":"Los piratas inform\u00e1ticos aprovechan Webview2 para implementar el malware CoinLurker y evadir la detecci\u00f3n de seguridad"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Los-piratas-informaticos-aprovechan-Webview2-para-implementar-el-malware-CoinLurker.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los actores de amenazas est\u00e1n utilizando falsos se\u00f1uelos de actualizaci\u00f3n de software para entregar un nuevo malware ladr\u00f3n llamado <strong>CoinLurker<\/strong>.<\/p>\n<p>&#8220;Escrito en Go, CoinLurker emplea t\u00e9cnicas de ofuscaci\u00f3n y antian\u00e1lisis de vanguardia, lo que lo convierte en una herramienta muy eficaz en los ciberataques modernos&#8221;, dijo el investigador de Morphisec Nadav Lorber. <a rel=\"noopener nofollow\" href=\"https:\/\/blog.morphisec.com\/coinlurker-the-stealer-powering-the-next-generation-of-fake-updates\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico publicado el lunes.<\/p>\n<p>Los ataques utilizan alertas de actualizaci\u00f3n falsas que emplean varios puntos de entrada enga\u00f1osos, como notificaciones de actualizaci\u00f3n de software en sitios de WordPress comprometidos, redirecciones de publicidad maliciosa, correos electr\u00f3nicos de phishing que enlazan a p\u00e1ginas de actualizaci\u00f3n falsas, mensajes de verificaci\u00f3n CAPTCHA falsos, descargas directas desde sitios falsos o infectados, y enlaces compartidos a trav\u00e9s de redes sociales y aplicaciones de mensajer\u00eda.<\/p>\n<p>Independientemente del m\u00e9todo utilizado para iniciar la cadena de infecci\u00f3n, las indicaciones de actualizaci\u00f3n de software utilizan <a rel=\"nofollow noopener\" href=\"https:\/\/developer.microsoft.com\/en-us\/microsoft-edge\/webview2\/?form=MA13LH\" target=\"_blank\">Vista web de Microsoft Edge2<\/a> para desencadenar la ejecuci\u00f3n de la carga \u00fatil.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;La dependencia de Webview2 de los componentes preinstalados y la interacci\u00f3n del usuario complica el an\u00e1lisis din\u00e1mico y de espacio aislado&#8221;, dijo Lorber. &#8220;Los entornos sandbox a menudo carecen de Webview2 o no logran replicar las acciones del usuario, lo que permite que el malware evada la detecci\u00f3n autom\u00e1tica&#8221;.<\/p>\n<p>Una de las t\u00e1cticas avanzadas adoptadas en estas campa\u00f1as se refiere al uso de una t\u00e9cnica llamada EtherHiding, en la que a los sitios comprometidos se les inyectan scripts dise\u00f1ados para llegar a la infraestructura Web3 con el fin de recuperar la carga \u00fatil final de un repositorio de Bitbucket que se hace pasar por herramientas leg\u00edtimas (por ejemplo, &#8220;UpdateMe.exe&#8221;, &#8220;SecurityPatch.exe&#8221;).<\/p>\n<p>Estos ejecutables, a su vez, est\u00e1n firmados con un certificado de Validaci\u00f3n Extendida (EV) leg\u00edtimo pero robado, lo que agrega otra capa de enga\u00f1o al esquema y elude las barreras de seguridad. En el paso final, se utiliza el &#8220;inyector multicapa&#8221; para implementar la carga \u00fatil en el proceso Microsoft Edge (&#8220;msedge.exe&#8221;).<\/p>\n<p>CoinLurker tambi\u00e9n utiliza un dise\u00f1o inteligente para ocultar sus acciones y complicar el an\u00e1lisis, incluida una gran ofuscaci\u00f3n para comprobar si la m\u00e1quina ya est\u00e1 comprometida, decodificar la carga \u00fatil directamente en la memoria durante el tiempo de ejecuci\u00f3n y tomar medidas para ocultar la ruta de ejecuci\u00f3n del programa mediante comprobaciones condicionales y recursos redundantes. Asignaciones y manipulaciones iterativas de memoria.<\/p>\n<p>&#8220;Este enfoque garantiza que el malware eluda la detecci\u00f3n, se mezcle perfectamente con la actividad leg\u00edtima del sistema y eluda las reglas de seguridad de la red que dependen del comportamiento del proceso para el filtrado&#8221;, se\u00f1al\u00f3 Morphisec.<\/p>\n<p>CoinLurker, una vez lanzado, inicia comunicaciones con un servidor remoto utilizando un enfoque basado en sockets y procede a recopilar datos de directorios espec\u00edficos asociados con carteras de criptomonedas (es decir, Bitcoin, Ethereum, Ledger Live y Exodus), Telegram, Discord y FileZilla.<\/p>\n<p>&#8220;Este escaneo completo subraya el objetivo principal de CoinLurker de recopilar datos valiosos relacionados con las criptomonedas y credenciales de usuario&#8221;, dijo Lorber. &#8220;Su objetivo tanto en carteras tradicionales como en carteras poco conocidas demuestra su versatilidad y adaptabilidad, lo que la convierte en una amenaza importante para los usuarios del ecosistema de las criptomonedas&#8221;.<\/p>\n<p>El desarrollo se produce cuando se ha observado que un solo actor de amenazas orquesta hasta 10 campa\u00f1as de publicidad maliciosa que abusan de los anuncios de la B\u00fasqueda de Google para se\u00f1alar a los profesionales del dise\u00f1o gr\u00e1fico desde al menos el 13 de noviembre de 2024, utilizando se\u00f1uelos relacionados con FreeCAD, Rhinoceros 3D, Planner 5D y En forma.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/INTERPOL-detiene-a-5500-personas-en-campana-mundial-contra-la.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Se han lanzado dominios d\u00eda tras d\u00eda, semana tras semana, al menos desde el 13 de noviembre de 2024, para campa\u00f1as de publicidad maliciosa alojadas en dos direcciones IP dedicadas: 185.11.61[.]243 y 185.147.124[.]110&#8221;, Empuje silencioso <a rel=\"noopener nofollow\" href=\"https:\/\/www.silentpush.com\/blog\/google-malvertising-campaign\/\" target=\"_blank\">dicho<\/a>. &#8220;Los sitios derivados de estos dos rangos de IP se est\u00e1n lanzando en campa\u00f1as publicitarias de la B\u00fasqueda de Google y todos conducen a una variedad de descargas maliciosas&#8221;.<\/p>\n<p>Tambi\u00e9n sigue la aparici\u00f3n de una nueva familia de malware denominada I2PRAT que abusa de la <a rel=\"noopener nofollow\" href=\"https:\/\/geti2p.net\/en\/\" target=\"_blank\">I2P<\/a> Red peer-to-peer para comunicaciones cifradas con un servidor de comando y control (C2). Vale la pena se\u00f1alar que Cofense tambi\u00e9n rastrea I2PRAT bajo el nombre de I2Parcae RAT.<\/p>\n<p>El <a rel=\"noopener nofollow\" href=\"https:\/\/www.gdatasoftware.com\/blog\/2024\/12\/38093-ip2rat-malware\" target=\"_blank\">punto de partida del ataque<\/a> es un correo electr\u00f3nico de phishing que contiene un enlace que, al hacer clic, dirige al destinatario del mensaje a una p\u00e1gina de verificaci\u00f3n CAPTCHA falsa, que emplea la t\u00e9cnica ClickFix para enga\u00f1ar a los usuarios para que copien y ejecuten un comando de PowerShell codificado en Base64 responsable de iniciar un descargador, que luego implementa la RAT despu\u00e9s de recuperarla del servidor C2 a trav\u00e9s de un socket TCP.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/12\/hackers-exploit-webview2-to-deploy.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los actores de amenazas est\u00e1n utilizando falsos se\u00f1uelos de actualizaci\u00f3n de software para entregar un nuevo malware ladr\u00f3n<\/p>\n","protected":false},"author":1,"featured_media":1491934,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,38098,4661,268311,4664,34790,28129,32935,6214,201033,36,4669,4654,201031,4659,4653,4655,18,6213,42,246983,255454,246984,201032,246982,4660,268310],"class_list":["post-1491933","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovechan","tag-ataques-ciberneticos","tag-coinlurker","tag-como-hackear","tag-deteccion","tag-evadir","tag-implementar","tag-informaticos","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-piratas","tag-seguridad","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-violacion-de-datos","tag-vulnerabilidad-de-software","tag-webview2"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1491933","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1491933"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1491933\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1491934"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1491933"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1491933"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1491933"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}