{"id":1566568,"date":"2025-02-06T00:38:09","date_gmt":"2025-02-06T00:38:09","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-campana-de-asyncrat-utiliza-cargas-utiles-de-python-y-tuneles-trycloudflare-para-ataques-sigilosos\/"},"modified":"2025-02-06T00:38:14","modified_gmt":"2025-02-06T00:38:14","slug":"la-campana-de-asyncrat-utiliza-cargas-utiles-de-python-y-tuneles-trycloudflare-para-ataques-sigilosos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-campana-de-asyncrat-utiliza-cargas-utiles-de-python-y-tuneles-trycloudflare-para-ataques-sigilosos\/","title":{"rendered":"La campa\u00f1a de Asyncrat utiliza cargas \u00fatiles de Python y t\u00faneles TryCloudflare para ataques sigilosos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">5 de febrero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad de malware \/ red<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-campana-de-Asyncrat-utiliza-cargas-utiles-de-Python-y.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha observado una campa\u00f1a de malware que ofrece un troyano de acceso remoto (RAT) llamado Asyncrat haciendo uso de cargas \u00fatiles de Python y t\u00faneles TryCloudflare.<\/p>\n<p>&#8220;Asyncrat es un troyano de acceso remoto (rata) que explota el patr\u00f3n de async\/espera para una comunicaci\u00f3n eficiente y as\u00edncrona&#8221;, investigadora de ForcePoint X-Labs Jyotika Singh <a rel=\"noopener nofollow\" href=\"https:\/\/www.forcepoint.com\/blog\/x-labs\/asyncrat-reloaded-python-trycloudflare-malware\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis.<\/p>\n<p>&#8220;Permite a los atacantes controlar los sistemas infectados sigilosamente, exfiltrar los datos y ejecutar comandos mientras permanecen ocultos, lo que lo convierte en un ciber\u00e9trico significativo&#8221;.<\/p>\n<p>El punto de partida de la cadena de ataque de varias etapas es un correo electr\u00f3nico de phishing que contiene una URL de Dropbox que, al hacer clic, descarga un archivo zip.<\/p>\n<p>Presente dentro del archivo hay un archivo de acceso directo de Internet (URL), que sirve como un conducto para un archivo de acceso directo de Windows (LNK) responsable de llevar la infecci\u00f3n m\u00e1s lejos, mientras que un documento PDF de se\u00f1uelo aparentemente benigna se muestra al destinatario del mensaje.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Espec\u00edficamente, el archivo LNK se recupera mediante una URL de TryCloudflare incrustada dentro del archivo URL. TryCloudflare es un <a rel=\"noopener nofollow\" href=\"https:\/\/developers.cloudflare.com\/cloudflare-one\/connections\/connect-networks\/do-more-with-tunnels\/trycloudflare\/\" target=\"_blank\">servicio leg\u00edtimo<\/a> ofrecido por CloudFlare para exponer los servidores web a Internet sin abrir ning\u00fan puerto creando un canal dedicado (es decir, un subdominio en TryCloudflare[.]com) que proxies tr\u00e1fico al servidor.<\/p>\n<p>El archivo LNK, por su parte, desencadena a PowerShell para ejecutar un c\u00f3digo JavaScript alojado en la misma ubicaci\u00f3n que, a su vez, conduce a un script por lotes (BAT) capaz de descargar otro archivo zip. El archivo zip reci\u00e9n descargado contiene una carga \u00fatil de Python dise\u00f1ada para lanzar y ejecutar varias familias de malware, como Asyncrat, Venom Rat y <a rel=\"noopener nofollow\" href=\"https:\/\/www.seqrite.com\/blog\/xworm-malware-analysis-new-infection-tactics\/\" target=\"_blank\">Xworm<\/a>.<\/p>\n<p>Vale la pena se\u00f1alar que un leve <a rel=\"noopener nofollow\" href=\"https:\/\/www.forcepoint.com\/blog\/x-labs\/asyncrat-python-trycloudflare-malware\" target=\"_blank\">variaci\u00f3n<\/a> La misma secuencia de infecci\u00f3n se descubri\u00f3 el a\u00f1o pasado propagando as\u00edncrata, guloader, robador de Purelogs, rata REMCOS, rata de veneno y XWORM.<\/p>\n<p>&#8220;Esta campa\u00f1a de Asyncrat ha demostrado nuevamente c\u00f3mo los piratas inform\u00e1ticos pueden usar infraestructuras leg\u00edtimas como URL de Dropbox e TryCloudflare para su ventaja&#8221;, se\u00f1al\u00f3 Singh. &#8220;Las cargas \u00fatiles se descargan a trav\u00e9s de URL de Dropbox y la infraestructura temporal del t\u00fanel TryCloudflare, por lo tanto, enga\u00f1ando a los destinatarios para que crean su legitimidad&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-campana-de-Asyncrat-utiliza-cargas-utiles-de-Python-y.jpg\" style=\"display: block; margin-left: 1em; margin-right: 1em;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-campana-de-Asyncrat-utiliza-cargas-utiles-de-Python-y.jpg\" alt=\"\" border=\"0\" data-original-height=\"96\" data-original-width=\"602\"\/><\/a><\/div>\n<p>El desarrollo llega en medio de un <a rel=\"noopener nofollow\" href=\"https:\/\/abnormalsecurity.com\/blog\/account-compromise-phishing-as-a-service\" target=\"_blank\">Surge en campa\u00f1as de phishing<\/a> Utilizando los kits de herramientas de Phishing como Servicio (PHAAS) para realizar ataques de adquisici\u00f3n de cuentas al dirigir a los usuarios a las p\u00e1ginas de destino falsas que imitan las p\u00e1ginas de inicio de sesi\u00f3n de plataformas de confianza como Microsoft, Google, Apple y Github.<\/p>\n<p>Los ataques de ingenier\u00eda social realizados a trav\u00e9s de correos electr\u00f3nicos tambi\u00e9n han sido <a rel=\"noopener nofollow\" href=\"https:\/\/abnormalsecurity.com\/blog\/segs-fail-attackers-exploit-vendors-credential-phishing\" target=\"_blank\">observado<\/a> Aprovechando las cuentas de proveedores comprometidas para cosechar las credenciales de inicio de sesi\u00f3n de Microsoft 365 de los usuarios, una indicaci\u00f3n de que los actores de amenaza est\u00e1n aprovechando la cadena de suministro interconectada y la confianza inherente para evitar mecanismos de autenticaci\u00f3n de correo electr\u00f3nico.<\/p>\n<p>Algunas de otras campa\u00f1as de phishing recientemente documentadas en las \u00faltimas semanas est\u00e1n a continuaci\u00f3n.<\/p>\n<ul>\n<li>Ataques <a rel=\"noopener nofollow\" href=\"https:\/\/cofense.com\/blog\/malware-alert-fake-judicial-review-emails-deliver-sapphirerat-targeting-latin-american-victims\" target=\"_blank\">dirigirse a organizaciones en Am\u00e9rica Latina<\/a> que utilizan documentos y recibos legales oficiales para distribuir y ejecutar Sapphirerat<\/li>\n<li>Ataques <a rel=\"noopener nofollow\" href=\"https:\/\/cofense.com\/blog\/threat-actors-exploit-government-website-vulnerabilities-for-phishing-campaigns\" target=\"_blank\">explotando dominios leg\u00edtimos<\/a>incluidos los que pertenecen a sitios web del gobierno (&#8220;.gov&#8221;), para organizar p\u00e1ginas de cosecha de credenciales de Microsoft 365<\/li>\n<li>Ataques <a rel=\"noopener nofollow\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/security-brief-threat-actors-take-taxes-account\" target=\"_blank\">hacer pasar por agencias fiscales y organizaciones financieras relacionadas<\/a> Para atacar a los usuarios en Australia, Suiza, el Reino Unido y los EE. UU. Para capturar las credenciales de los usuarios, realizar pagos fraudulentos y distribuir malware como Asyncrat, MetaTealer, Venom Rat, Xworm<\/li>\n<li>Ataques que <a rel=\"noopener nofollow\" href=\"https:\/\/abnormalsecurity.com\/resources\/targeting-microsoft-adfs-phishing-bypass-mfa-for-account-takeover\" target=\"_blank\">aprovechar<\/a> P\u00e1ginas de inicio de sesi\u00f3n de Servicios de inicio de sesi\u00f3n de Microsoft Active Directory Services (ADFS) para reunir credenciales y c\u00f3digos de autenticaci\u00f3n de factores m\u00faltiples (MFA) para ataques por correo electr\u00f3nico de seguimiento financieramente motivados financieramente <\/li>\n<li>Ataques que emplean <a rel=\"noopener nofollow\" href=\"https:\/\/www.cloudsek.com\/blog\/unmasking-cyber-deception-the-rise-of-generic-phishing-pages-targeting-multiple-brands\" target=\"_blank\">Trabajadores de la nube<\/a> (trabajadores.dev) para organizar p\u00e1ginas de recolecci\u00f3n de credenciales gen\u00e9ricas que imitan varios servicios en l\u00ednea<\/li>\n<li>Ataques <a rel=\"noopener nofollow\" href=\"https:\/\/cyble.com\/blog\/sliver-implant-targets-german-entities-with-dll-sideloading-and-proxying-techniques\/\" target=\"_blank\">dirigido a organizaciones alemanas<\/a> con el implante Sliver bajo la apariencia de contratos de empleo<\/li>\n<li>Ataques que <a rel=\"noopener nofollow\" href=\"https:\/\/isc.sans.edu\/diary\/31626\" target=\"_blank\">utilizar<\/a> Los personajes de bip-anchura y gui\u00f3n de oso bajo (tambi\u00e9n conocido como t\u00edmido) para evitar algunas verificaciones de seguridad de URL en correos electr\u00f3nicos de phishing<\/li>\n<li>Ataques que <a rel=\"noopener nofollow\" href=\"https:\/\/www.validin.com\/blog\/malicious_blogspot_apateweb_campaign\/\" target=\"_blank\">Distribuir URL atrapadas<\/a> que entregan sharware, programas potencialmente no deseados (cachorros) y otras p\u00e1ginas de estafadores como parte de una campa\u00f1a nombrada <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/apateweb-scareware-pup-delivery-campaign\/\" target=\"_blank\">Apateweb<\/a><\/li>\n<\/ul>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738386538_999_La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Investigaciones recientes de Cloudsek tambi\u00e9n han demostrado que es posible explotar la infraestructura de Zendesk para facilitar los ataques de phishing y las estafas de inversi\u00f3n.<\/p>\n<p>&#8220;Zendesk permite que un usuario se registre para una prueba gratuita de su plataforma SaaS, permitiendo el registro de un subdominio, que podr\u00eda usarse mal para hacerse pasar por un objetivo&#8221;, la compa\u00f1\u00eda <a rel=\"noopener nofollow\" href=\"https:\/\/www.cloudsek.com\/blog\/facilitating-phishing-and-pig-butchering-activities-using-zendesk-infrastructure-bait-switch-mode\" target=\"_blank\">dicho<\/a>agregar atacantes puede usar estos subdominios para entregar correos electr\u00f3nicos de phishing agregando las direcciones de correo electr\u00f3nico de los objetivos como &#8220;usuarios&#8221; al portal de Zendesk.<\/p>\n<p>&#8220;Zendesk no realiza cheques por correo electr\u00f3nico para invitar a los usuarios. Lo que significa que cualquier cuenta aleatoria se puede agregar como miembro. Se pueden enviar p\u00e1ginas de phishing, bajo la apariencia de boletos asignados a la direcci\u00f3n de correo electr\u00f3nico&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/asyncrat-campaign-uses-python-payloads.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue8025 de febrero de 2025\ue804Ravie LakshmananSeguridad de malware \/ red Se ha observado una campa\u00f1a de malware que<\/p>\n","protected":false},"author":1,"featured_media":1566569,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,175413,2346,4661,3372,20518,4664,273784,273783,4654,273782,4659,4653,4655,18,39018,246983,4665,246984,115215,277483,48801,30151,6984,455,4660],"class_list":["post-1566568","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-asyncrat","tag-ataques","tag-ataques-ciberneticos","tag-campana","tag-cargas","tag-como-hackear","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-python","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sigilosos","tag-trycloudflare","tag-tuneles","tag-utiles","tag-utiliza","tag-violacion","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1566568","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1566568"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1566568\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1566569"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1566568"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1566568"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1566568"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}