{"id":1596966,"date":"2025-02-25T20:28:33","date_gmt":"2025-02-25T20:28:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/ghostwriter-ligado-a-bielorrusia-usa-macropack-obfuscated-excel-macros-para-implementar-malware\/"},"modified":"2025-02-25T20:28:38","modified_gmt":"2025-02-25T20:28:38","slug":"ghostwriter-ligado-a-bielorrusia-usa-macropack-obfuscated-excel-macros-para-implementar-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ghostwriter-ligado-a-bielorrusia-usa-macropack-obfuscated-excel-macros-para-implementar-malware\/","title":{"rendered":"Ghostwriter ligado a Bielorrusia usa MacRopack-Obfuscated Excel Macros para implementar malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 de febrero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware \/ espionaje cibern\u00e9tico<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Ghostwriter-ligado-a-Bielorrusia-usa-MacRopack-Obfuscated-Excel-Macros-para-implementar.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los activistas de la oposici\u00f3n en Bielorrusia, as\u00ed como las organizaciones militares y gubernamentales ucranianas, son el objetivo de una nueva campa\u00f1a que emplea documentos de Microsoft Excel con se\u00f1uelos para entregar una nueva variante de Picasoloader. <\/p>\n<p>Se ha evaluado que el grupo de amenazas es una extensi\u00f3n de una campa\u00f1a de larga duraci\u00f3n montada por un actor de amenaza alineado de Bielorrusia denominado fantasma (tambi\u00e9n conocido como lunescape, TA445, UAC-0057 y UNC1151) desde 2016. Es <a rel=\"noopener nofollow\" href=\"https:\/\/cyble.com\/blog\/unc1151-strikes-again-unveiling-their-tactics-against-ukraines-ministry-of-defence\/\" target=\"_blank\">conocido<\/a> Alinearse con los intereses de seguridad rusos y promover narrativas cr\u00edticas con la OTAN.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;La campa\u00f1a ha estado en preparaci\u00f3n desde julio-agosto de 2024 y ingres\u00f3 a la fase activa en noviembre-diciembre de 2024&#8221;, el investigador de Sentinelone Tom Hegel <a rel=\"noopener nofollow\" href=\"https:\/\/www.sentinelone.com\/labs\/ghostwriter-new-campaign-targets-ukrainian-government-and-belarusian-opposition\/\" target=\"_blank\">dicho<\/a> En un informe t\u00e9cnico compartido con Hacker News. &#8220;Las muestras de malware recientes y la actividad de infraestructura de comando y control (C2) indican que la operaci\u00f3n permanece activa en los \u00faltimos d\u00edas&#8221;.<\/p>\n<p>El punto de partida de la cadena de ataque analizado por la compa\u00f1\u00eda de seguridad cibern\u00e9tica es un documento compartido de Google Drive que se origin\u00f3 en una cuenta llamada Vladimir Nikiforech y organiz\u00f3 un archivo RAR.<\/p>\n<p>El archivo de rata incluye un libro de trabajo de Excel malicioso que, cuando se abre, desencadena la ejecuci\u00f3n de una macro ofuscada cuando las posibles v\u00edctimas permiten que se ejecute macros. La macro procede a escribir un archivo DLL que finalmente allane el camino para una versi\u00f3n simplificada de PicasSoloader.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1740515312_784_Ghostwriter-ligado-a-Bielorrusia-usa-MacRopack-Obfuscated-Excel-Macros-para-implementar.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1740515312_784_Ghostwriter-ligado-a-Bielorrusia-usa-MacRopack-Obfuscated-Excel-Macros-para-implementar.png\" alt=\"\" border=\"0\" data-original-height=\"1621\" data-original-width=\"1999\"\/><\/a><\/div>\n<p>En la siguiente fase, se muestra un archivo de Excel se\u00f1uelo a la v\u00edctima, mientras que, en segundo plano, se descargan cargas \u00fatiles adicionales en el sistema. Tan recientemente como junio de 2024, este enfoque se utiliz\u00f3 para entregar el marco de Cobalt Strike despu\u00e9s de la explotaci\u00f3n.<\/p>\n<p>Sentinelone dijo que tambi\u00e9n descubri\u00f3 otros documentos de Excel armados con se\u00f1uelos con tem\u00e1tica de Ucrania para recuperar un malware desconocido de la segunda etapa de una URL remota (&#8220;Sciencealert[.]Comprar &#8220;) en forma de una imagen JPG aparentemente inofensiva, una t\u00e9cnica conocida como esteganograf\u00eda. Las URL ya no est\u00e1n disponibles.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738386538_999_La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En otro caso, el documento de Excel atrapado en Booby se utiliza para entregar una DLL llamada LibCMD, que est\u00e1 dise\u00f1ada para ejecutar cmd.exe y conectarse a stdin\/stdout. Se carga directamente en la memoria como un ensamblaje de .NET y se ejecuta.<\/p>\n<p>&#8220;A lo largo de 2024, GhostWriter ha utilizado repetidamente una combinaci\u00f3n de libros de trabajo de Excel que contienen macros VBA Obfuscadas de Macropack y descartaron descargados .NET descargados con <a rel=\"noopener nofollow\" href=\"https:\/\/mkaring.github.io\/ConfuserEx\/\" target=\"_blank\">Confusado<\/a>&#8220;, Dijo Hegel.<\/p>\n<p>&#8220;Si bien Bielorrusia no participa activamente en campa\u00f1as militares en la guerra en Ucrania, los actores de amenaza cibern\u00e9tica asociados con \u00e9l parecen no tener reservas sobre la realizaci\u00f3n de operaciones de espionaje cibern\u00e9tico contra los objetivos ucranianos&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/belarus-linked-ghostwriter-uses.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 de febrero de 2025\ue804Ravie LakshmananMalware \/ espionaje cibern\u00e9tico Los activistas de la oposici\u00f3n en Bielorrusia, as\u00ed como<\/p>\n","protected":false},"author":1,"featured_media":1596967,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,2750,4664,18887,282458,32935,273784,114533,282459,56067,4669,273783,4654,273782,4659,4653,4655,18,246983,4665,246984,10875,455,239484],"class_list":["post-1596966","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-bielorrusia","tag-como-hackear","tag-excel","tag-ghostwriter","tag-implementar","tag-las-noticias-del-hacker","tag-ligado","tag-macropackobfuscated","tag-macros","tag-malware","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-usa","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1596966","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1596966"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1596966\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1596967"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1596966"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1596966"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1596966"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}