Se ha observado que los actores de amenazas ocultan c\u00f3digo malicioso en im\u00e1genes para entregar malware como VIP Keylogger y 0bj3ctivity Stealer como parte de campa\u00f1as separadas.<\/p>\n
“En ambas campa\u00f1as, los atacantes ocultaron c\u00f3digo malicioso en im\u00e1genes que subieron al archivo.[.]org, un sitio web de alojamiento de archivos, y utilizaron el mismo cargador .NET para instalar sus cargas \u00fatiles finales”, HP Wolf Security dicho<\/a> en su Informe Threat Insights para el tercer trimestre de 2024 compartido con The Hacker News.<\/p>\n El punto de partida es un correo electr\u00f3nico de phishing que se hace pasar por facturas y \u00f3rdenes de compra para enga\u00f1ar a los destinatarios para que abran archivos adjuntos maliciosos, como documentos de Microsoft Excel, que, cuando se abren, explotan una falla de seguridad conocida en el Editor de ecuaciones (CVE-2017-11882<\/a>) para descargar un archivo VBScript.<\/p>\n El script, por su parte, est\u00e1 dise\u00f1ado para decodificar y ejecutar un script de PowerShell que recupera una imagen alojada en un archivo.[.]org y extrae un c\u00f3digo codificado en Base64, que posteriormente se decodifica en un ejecutable .NET y se ejecuta.<\/p>\n El ejecutable .NET sirve como cargador para descargar VIP Keylogger desde una URL determinada y lo ejecuta, lo que permite a los actores de amenazas robar una amplia gama de datos de los sistemas infectados, incluidas pulsaciones de teclas, contenido del portapapeles, capturas de pantalla y credenciales. Acciones de Keylogger VIP superposiciones funcionales<\/a> con Snake Keylogger y 404 Keylogger. <\/p>\n Se ha descubierto que una campa\u00f1a similar env\u00eda archivos maliciosos a los objetivos por correo electr\u00f3nico. Estos mensajes, que se hacen pasar por solicitudes de cotizaci\u00f3n, tienen como objetivo atraer a los visitantes para que abran un archivo JavaScript dentro del archivo que luego inicia un script de PowerShell.<\/p>\n Como en el caso anterior, el script de PowerShell descarga una imagen de un servidor remoto, analiza el c\u00f3digo codificado en Base64 que contiene y ejecuta el mismo cargador basado en .NET. La diferencia es que la cadena de ataque culmina con el despliegue de un ladr\u00f3n de informaci\u00f3n llamado 0bj3ctivity.<\/p>\n Los paralelos entre las dos campa\u00f1as sugieren que los actores de amenazas est\u00e1n aprovechando los kits de malware para mejorar la eficiencia general, al tiempo que reducen el tiempo y la experiencia t\u00e9cnica necesarios para dise\u00f1ar los ataques.<\/p>\n HP Wolf Security tambi\u00e9n dijo que observ\u00f3 a malos actores que recurr\u00edan a t\u00e9cnicas de contrabando de HTML para eliminar el troyano de acceso remoto (RAT) XWorm mediante un cuentagotas AutoIt, haci\u00e9ndose eco de campa\u00f1as anteriores que distribu\u00edan AsyncRAT de manera similar.<\/p>\n “En particular, los archivos HTML ten\u00edan caracter\u00edsticas que suger\u00edan que hab\u00edan sido escritos con la ayuda de GenAI”, dijo HP. “La actividad apunta al uso creciente de GenAI en las etapas iniciales de acceso y entrega de malware de la cadena de ataque”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Los-piratas-informaticos-ocultan-malware-en-imagenes-para-implementar-VIP.png\")
<\/a><\/center><\/div>\n