Los investigadores de ciberseguridad advierten una nueva campa\u00f1a que aprovecha las versiones descifradas del software como un se\u00f1uelo para distribuir robadores de informaci\u00f3n como Lumma y ACR Stealer.<\/p>\n
El Centro de Inteligencia de Seguridad de AhnLab (ASEC) dijo que ha observado un aumento en el volumen de distribuci\u00f3n de ACR Stealer desde enero de 2025.<\/p>\n
Un aspecto notable del malware del robador es el uso de una t\u00e9cnica llamada Resolver de ca\u00edda muerta<\/a> Para extraer el servidor real de comando y control (C2). Esto incluye confiar en servicios leg\u00edtimos como Steam, Telegram’s Telegraph, Google Forms y Google Slides.<\/p>\n “Los actores de amenaza ingresan al dominio C2 real en la codificaci\u00f3n Base64 en una p\u00e1gina espec\u00edfica”, ASEC dicho<\/a>. “El malware accede a esta p\u00e1gina, analiza la cadena y obtiene la direcci\u00f3n del dominio C2 real para realizar comportamientos maliciosos”.<\/p>\n ACR Stealer, previamente distribuido a trav\u00e9s de malware del cargador de secuestro, es capaz de cosechar una amplia gama de informaci\u00f3n de sistemas comprometidos, incluidos archivos, datos del navegador web y extensiones de billetera de criptomonedas.<\/p>\n El desarrollo se produce cuando ASEC revel\u00f3 otra campa\u00f1a que usa archivos con la extensi\u00f3n “MSC”, que puede ser ejecutada por la Consola de administraci\u00f3n de Microsoft (MMC), para entregar el malware Rhadamanthys Stealer.<\/p>\n “Hay dos tipos de malware MSC: uno explota la vulnerabilidad de APDS.DLL (CVE-2024-43572), y el otro ejecuta el comando ‘Comando’ utilizando el TaskPad de la consola”, la compa\u00f1\u00eda surcoreana dicho<\/a>.<\/p>\n “El archivo MSC est\u00e1 disfrazado de un documento MS Word”. Cuando se hace clic en el bot\u00f3n ‘Abrir’, descarga y ejecuta un script PowerShell desde una fuente externa. El script de PowerShell descargado contiene un archivo exe (Rhadamanthys) “.<\/p>\n CVE-2024-43572, tambi\u00e9n llamado Grimresource, fue documentado por primera vez por los laboratorios de seguridad el\u00e1sticos en junio de 2024 que fue explotado por actores maliciosos como un d\u00eda cero. Fue parcheado por Microsoft en octubre de 2024.<\/p>\n Las campa\u00f1as de malware tambi\u00e9n han sido observado<\/a> Explotando plataformas de soporte de chat como Zendesk, disfraz\u00e1ndose de los clientes para enga\u00f1ar a los agentes de soporte desprevenidos para que descarguen un robador llamado Zhong Stealer.<\/p>\n Seg\u00fan un informe reciente publicado por Hudson Rock, m\u00e1s de 30,000,000 de computadoras han sido infectadas por robadores de informaci\u00f3n en los “\u00faltimos a\u00f1os”, lo que lleva al robo de credenciales corporativas y cookies de sesiones que luego podr\u00edan venderse por cibercriminales en foros subterr\u00e1neos a otros actores con fines de lucro.<\/p>\n Los compradores podr\u00edan armar el acceso que brindan estas credenciales para organizar las acciones posteriores a la explotaci\u00f3n, lo que lleva a riesgos severos. Estos desarrollos sirven para resaltar el papel desempe\u00f1ado por Stealer Malware como un vector de acceso inicial que proporciona un punto de apoyo a entornos corporativos sensibles.<\/p>\n “Por tan solo $ 10 por registro (computadora), los ciberdelincuentes pueden comprar datos robados de empleados que trabajan en sectores de defensa y militar clasificados”, Hudson Rock dicho<\/a>. “La inteligencia de InfoTealer no se trata solo de detectar qui\u00e9n est\u00e1 infectado, se trata de comprender la red completa de credenciales comprometidas y riesgos de terceros”.<\/p>\n Durante el a\u00f1o pasado, los actores de amenazas tambi\u00e9n han estado aumentando los esfuerzos para difundir una variedad de familias de malware, incluidos los robadores y troyanos de acceso remoto (ratas), a trav\u00e9s de una t\u00e9cnica llamada ClickFix que a menudo implica redirigir a los usuarios a p\u00e1ginas de verificaci\u00f3n de captcha falsas que les instruyen a copiar y ejecutar comandos nefastos de PowerShell.<\/p>\n Una de esas cargas \u00fatiles descartadas es I2PRAT, que emplea la red de anonimato I2P para anonimizar su servidor C2 final. <\/p>\n “El malware es una amenaza avanzada compuesta de m\u00faltiples capas, cada una incorporando mecanismos sofisticados”, Sekoia dicho<\/a>. “El uso de una red de anonimizaci\u00f3n complica el seguimiento y dificulta la identificaci\u00f3n de la magnitud de la amenaza y se propaga en la naturaleza”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-nueva-campana-de-malware-utiliza-software-Cracked-para-difundir.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n