{"id":1516448,"date":"2025-01-04T09:47:47","date_gmt":"2025-01-04T09:47:47","guid":{"rendered":"https:\/\/teknomers.com\/es\/playfulghost-entregado-mediante-phishing-y-envenenamiento-de-seo-en-aplicaciones-vpn-troyanizadas\/"},"modified":"2025-01-04T09:47:52","modified_gmt":"2025-01-04T09:47:52","slug":"playfulghost-entregado-mediante-phishing-y-envenenamiento-de-seo-en-aplicaciones-vpn-troyanizadas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/playfulghost-entregado-mediante-phishing-y-envenenamiento-de-seo-en-aplicaciones-vpn-troyanizadas\/","title":{"rendered":"PLAYFULGHOST entregado mediante phishing y envenenamiento de SEO en aplicaciones VPN troyanizadas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 de enero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware\/seguridad VPN<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/PLAYFULGHOST-entregado-mediante-phishing-y-envenenamiento-de-SEO-en-aplicaciones.gif\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han detectado un nuevo malware llamado <strong>FANTASMA JUGUETON<\/strong> que viene con una amplia gama de funciones de recopilaci\u00f3n de informaci\u00f3n como registro de teclas, captura de pantalla, captura de audio, shell remoto y transferencia\/ejecuci\u00f3n de archivos.<\/p>\n<p>La puerta trasera, seg\u00fan el equipo de Defensa Gestionada de Google, comparte superposiciones funcionales con una conocida herramienta de administraci\u00f3n remota conocida como Gh0st RAT, cuyo c\u00f3digo fuente se filtr\u00f3 p\u00fablicamente en 2008.<\/p>\n<p>Las v\u00edas de acceso inicial de PLAYFULGHOST incluyen el uso de correos electr\u00f3nicos de phishing que contienen c\u00f3digos de se\u00f1uelos relacionados con la conducta o t\u00e9cnicas de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO) para distribuir versiones troyanizadas de aplicaciones VPN leg\u00edtimas como LetsVPN.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;En un caso de phishing, la infecci\u00f3n comienza enga\u00f1ando a la v\u00edctima para que abra un archivo RAR malicioso disfrazado de archivo de imagen utilizando una extensi\u00f3n .jpg&#8221;, dijo la empresa. <a rel=\"noopener nofollow\" href=\"https:\/\/www.googlecloudcommunity.com\/gc\/Community-Blog\/Finding-Malware-Unveiling-PLAYFULGHOST-with-Google-Security\/ba-p\/850676\" target=\"_blank\">dicho<\/a>. &#8220;Cuando la v\u00edctima lo extrae y lo ejecuta, el archivo descarga un ejecutable malicioso de Windows, que eventualmente descarga y ejecuta PLAYFULGHOST desde un servidor remoto&#8221;.<\/p>\n<p>Las cadenas de ataques que emplean envenenamiento de SEO, por otro lado, buscan enga\u00f1ar a los usuarios desprevenidos para que descarguen un instalador con malware para LetsVPN, que, cuando se inicia, arroja una carga \u00fatil provisional responsable de recuperar los componentes de la puerta trasera.<\/p>\n<p>La infecci\u00f3n se destaca por aprovechar m\u00e9todos como el secuestro del orden de b\u00fasqueda de DLL y la carga lateral para iniciar una DLL maliciosa que luego se usa para descifrar y cargar PLAYFULGHOST en la memoria.<\/p>\n<p>Mandiant dijo que tambi\u00e9n observ\u00f3 un &#8220;escenario de ejecuci\u00f3n m\u00e1s sofisticado&#8221; en el que un archivo de acceso directo de Windows (&#8220;QQLaunch.lnk&#8221;) combina el contenido de otros dos archivos llamados &#8220;h&#8221; y &#8220;t&#8221; para construir la DLL maliciosa y descargarla utilizando un Versi\u00f3n renombrada de &#8220;curl.exe&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/PLAYFULGHOST-entregado-mediante-phishing-y-envenenamiento-de-SEO-en-aplicaciones.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/PLAYFULGHOST-entregado-mediante-phishing-y-envenenamiento-de-SEO-en-aplicaciones.png\" alt=\"Aplicaciones VPN troyanizadas\" border=\"0\" data-original-height=\"568\" data-original-width=\"728\" title=\"Aplicaciones VPN troyanizadas\"\/><\/a><\/div>\n<p>PLAYFULGHOST es capaz de configurar la persistencia en el host utilizando cuatro m\u00e9todos diferentes: ejecutar clave de registro, tarea programada, carpeta de inicio de Windows y servicio de Windows. Cuenta con un amplio conjunto de funciones que le permiten recopilar una gran cantidad de datos, incluidas pulsaciones de teclas, capturas de pantalla, audio, informaci\u00f3n de la cuenta QQ, productos de seguridad instalados, contenido del portapapeles y metadatos del sistema.<\/p>\n<p>Tambi\u00e9n viene con capacidades para eliminar m\u00e1s cargas \u00fatiles, bloquear la entrada del mouse y el teclado, borrar registros de eventos de Windows, borrar datos del portapapeles, realizar operaciones de archivos, eliminar cach\u00e9s y perfiles asociados con navegadores web como Sogou, QQ, 360 Safety, Firefox y Google Chrome. y borrar perfiles y almacenamiento local para aplicaciones de mensajer\u00eda como Skype, Telegram y QQ.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/itdr-guide-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1735735832_165_Entidades-iranies-y-rusas-sancionadas-por-interferencia-electoral-utilizando-inteligencia.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Algunas de las otras herramientas implementadas a trav\u00e9s de PLAYFULGHOST son Mimikatz y un rootkit capaz de ocultar registros, archivos y procesos especificados por el actor de la amenaza. Junto con la descarga de los componentes de PLAYFULGHOST tambi\u00e9n se incluye una utilidad de c\u00f3digo abierto llamada Terminator que puede eliminar procesos de seguridad mediante un controlador vulnerable Bring Your Own (<a rel=\"noopener nofollow\" href=\"https:\/\/www.halcyon.ai\/blog\/blocking-byovd-techniques-to-prevent-av-edr-xdr-bypasses\" target=\"_blank\">BYOVD<\/a>) ataque.<\/p>\n<p>&#8220;En una ocasi\u00f3n, Mandiant observ\u00f3 una carga \u00fatil PLAYFULGHOST integrada en BOOSTWAVE&#8221;, dijo el gigante tecnol\u00f3gico. &#8220;BOOSTWAVE es un c\u00f3digo shell que act\u00faa como cuentagotas en memoria para una carga \u00fatil ejecutable port\u00e1til (PE) adjunta&#8221;.<\/p>\n<p>El ataque a aplicaciones como Sogou, QQ y 360 Safety y el uso de se\u00f1uelos LetsVPN aumentan la posibilidad de que estas infecciones se dirijan a usuarios de Windows de habla china. En julio de 2024, el proveedor canadiense de ciberseguridad eSentire revel\u00f3 una campa\u00f1a similar que aprovechaba instaladores falsos de Google Chrome para propagar Gh0st RAT mediante un gotero denominado Gh0stGambit.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/01\/playfulghost-delivered-via-phishing-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 de enero de 2025\ue804Ravie LakshmananMalware\/seguridad VPN Los investigadores de ciberseguridad han detectado un nuevo malware llamado FANTASMA<\/p>\n","protected":false},"author":1,"featured_media":1516449,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,8343,4661,4664,202,37774,201033,11078,4654,201031,4659,4653,4655,8178,270786,246983,255454,246984,22572,201032,40917,246982,27565,4660],"class_list":["post-1516448","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aplicaciones","tag-ataques-ciberneticos","tag-como-hackear","tag-entregado","tag-envenenamiento","tag-las-noticias-de-los-piratas-informaticos","tag-mediante","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-phishing","tag-playfulghost","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-seo","tag-software-malicioso-ransomware","tag-troyanizadas","tag-violacion-de-datos","tag-vpn","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1516448","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1516448"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1516448\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1516449"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1516448"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1516448"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1516448"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}