Varias organizaciones industriales en la regi\u00f3n de Asia-Pac\u00edfico (APAC) se han dirigido como parte de los ataques de phishing dise\u00f1ados para entregar un malware conocido llamado FatalRat.<\/p>\n
“La amenaza fue orquestada por los atacantes utilizando la red leg\u00edtima de la red de entrega de contenido en la nube chino (CDN) Myqcloud y el servicio de Notas de la nube de Yodao como parte de su infraestructura de ataque”, Cert Kaspersky ICS Cert dicho<\/a> En un informe del lunes.<\/p>\n “Los atacantes emplearon un sofisticado marco de entrega de carga \u00fatil de varias etapas para garantizar la evasi\u00f3n de la detecci\u00f3n”.<\/p>\n La actividad ha se\u00f1alado agencias gubernamentales y organizaciones industriales, particularmente fabricaci\u00f3n, construcci\u00f3n, tecnolog\u00eda de la informaci\u00f3n, telecomunicaciones, atenci\u00f3n m\u00e9dica, energ\u00eda y energ\u00eda, y log\u00edstica y transporte a gran escala, en Taiw\u00e1n, Malasia, China, Jap\u00f3n, Tailandia, Corea del Sur, Singapur. , Filipinas, Vietnam y Hong Kong.<\/p>\n Los accesorios de se\u00f1uelo utilizados en los mensajes de correo electr\u00f3nico sugieren que la campa\u00f1a de phishing est\u00e1 dise\u00f1ada para ir despu\u00e9s de personas de habla china.<\/p>\n Vale la pena se\u00f1alar que Fatal<\/a> Las campa\u00f1as han aprovechado previamente los anuncios de Google falsos como un vector de distribuci\u00f3n. En septiembre de 2023, Proofpoint document\u00f3 otra campa\u00f1a de phishing de correo electr\u00f3nico que propag\u00f3 a varias familias de malware como Fatalrat, GH0st Rat, Purple Fox y Valleyrat.<\/p>\n Un aspecto interesante de ambos conjuntos de intrusiones es que se han dirigido principalmente a oradores en idioma chino y organizaciones japonesas. Algunas de estas actividades se han atribuido a un actor de amenazas rastreado como Silver Fox Apt.<\/p>\n El punto de partida de la \u00faltima cadena de ataque es un correo electr\u00f3nico de phishing que contiene un archivo postal con un nombre de archivo en idioma chino, que, cuando se lanza, lanza el cargador de la primera etapa que, a su vez, hace una solicitud a las notas de la nube de Yodao para recuperar un archivo DLL y un configurador FatalRat.<\/p>\n Por su parte, el m\u00f3dulo de configuraci\u00f3n descarga el contenido de otra nota de nota. Youdao[.]com para acceder a la informaci\u00f3n de configuraci\u00f3n. Tambi\u00e9n est\u00e1 dise\u00f1ado para abrir un archivo se\u00f1uelo en un esfuerzo por evitar aumentar las sospechas.<\/p>\n La DLL, por otro lado, es un cargador de segunda etapa responsable de descargar e instalar la carga \u00fatil de FatalRat desde un servidor (“Myqcloud[.]com “) especificado en la configuraci\u00f3n, mientras se muestra un mensaje de error falso sobre un problema que ejecuta la aplicaci\u00f3n.<\/p>\n Un sello distintivo importante de la campa\u00f1a incluye el uso de t\u00e9cnicas de carga lateral de DLL para avanzar en la secuencia de infecci\u00f3n de varias etapas y cargar el malware fatalRat.<\/p>\n “El actor de amenaza utiliza un m\u00e9todo en blanco y negro donde el actor aprovecha la funcionalidad de los binarios leg\u00edtimos para hacer que la cadena de eventos parezca una actividad normal”, dijo Kaspersky. “Los atacantes tambi\u00e9n utilizaron una t\u00e9cnica de carga lateral DLL para ocultar la persistencia del malware en la memoria de proceso leg\u00edtima”.<\/p>\n “Fatalrat realiza 17 comprobaciones para un indicador de que el malware se ejecuta en una m\u00e1quina virtual o un entorno de Sandbox. Si alguna de las comprobaciones fallan, el malware deja de ejecutarse”.<\/p>\n Tambi\u00e9n termina todas las instancias del proceso RUNDLL32.exe, y recopila informaci\u00f3n sobre el sistema y las diversas soluciones de seguridad instaladas en \u00e9l, antes de esperar m\u00e1s instrucciones desde un servidor de comando y control (C2).<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Ataques-de-phishing-fatalrat-a-las-industrias-APAC-objetivo-utilizando.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n