{"id":1599884,"date":"2025-02-27T18:19:14","date_gmt":"2025-02-27T18:19:14","guid":{"rendered":"https:\/\/teknomers.com\/es\/silver-fox-apt-utiliza-malware-winos-4-0-en-ataques-ciberneticos-contra-organizaciones-taiwanesas\/"},"modified":"2025-02-27T18:19:18","modified_gmt":"2025-02-27T18:19:18","slug":"silver-fox-apt-utiliza-malware-winos-4-0-en-ataques-ciberneticos-contra-organizaciones-taiwanesas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/silver-fox-apt-utiliza-malware-winos-4-0-en-ataques-ciberneticos-contra-organizaciones-taiwanesas\/","title":{"rendered":"Silver Fox Apt utiliza malware Winos 4.0 en ataques cibern\u00e9ticos contra organizaciones taiwanesas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 de febrero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Inteligencia de malware \/ amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Silver-Fox-Apt-utiliza-malware-Winos-40-en-ataques-ciberneticos.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Una nueva campa\u00f1a se dirige a empresas en Taiw\u00e1n con malware conocido como <strong>Winos 4.0<\/strong> Como parte de los correos electr\u00f3nicos de phishing disfrazados de la Oficina Nacional de Impuestos del pa\u00eds.<\/p>\n<p>La campa\u00f1a, detectada el mes pasado por Fortinet Fortiguard Labs, marca una desviaci\u00f3n de las cadenas de ataque anteriores que han aprovechado las aplicaciones maliciosas relacionadas con el juego.<\/p>\n<p>&#8220;El remitente afirm\u00f3 que el archivo malicioso adjunto era una lista de empresas programadas para la inspecci\u00f3n de impuestos y le pidi\u00f3 al receptor que env\u00ede la informaci\u00f3n al tesorero de su compa\u00f1\u00eda&#8221;, el investigador de seguridad Pei Han Liao <a rel=\"noopener nofollow\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/winos-spreads-via-impersonation-of-official-email-to-target-users-in-taiwan\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n<p>El archivo adjunto imita un documento oficial del Ministerio de Finanzas, instando al destinatario a descargar la lista de empresas programadas para la inspecci\u00f3n de impuestos.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Pero en realidad, la lista es un archivo zip que contiene una DLL maliciosa (&#8220;lastbld2base.dll&#8221;) que sienta las bases para la pr\u00f3xima etapa de ataque, lo que lleva a la ejecuci\u00f3n de ShellCode responsable de descargar un m\u00f3dulo Wines 4.0 de un servidor remoto (&#8220;206.238.221[.]60 &#8220;) para recopilar datos confidenciales.<\/p>\n<p>El componente, descrito como un m\u00f3dulo de inicio de sesi\u00f3n, es capaz de tomar capturas de pantalla, registrar pulsaciones de teclas, alterar el contenido del portapapeles, monitorear los dispositivos USB conectados, ejecutar shellcode y permitir la ejecuci\u00f3n de acciones confidenciales (por ejemplo, cmd.exe) cuando se muestra la seguridad de la seguridad de Kingsoft y Huorong.<\/p>\n<p>Fortinet dijo que tambi\u00e9n observ\u00f3 una segunda cadena de ataque que descarga una <a rel=\"noopener nofollow\" href=\"https:\/\/www.esentire.com\/blog\/winos4-0-online-module-staging-component-used-in-cleversoar-campaign\" target=\"_blank\">m\u00f3dulo en l\u00ednea<\/a> Eso puede capturar capturas de pantalla de WeChat y bancos en l\u00ednea.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Silver-Fox-Apt-utiliza-malware-Winos-40-en-ataques-ciberneticos.jpeg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Silver-Fox-Apt-utiliza-malware-Winos-40-en-ataques-ciberneticos.jpeg\" alt=\"\" border=\"0\" data-original-height=\"316\" data-original-width=\"1091\"\/><\/a><\/div>\n<p>Vale la pena se\u00f1alar que el <a rel=\"noopener nofollow\" href=\"https:\/\/hunt.io\/blog\/unearthing-new-infrastructure-by-revisiting-past-threat-reports\" target=\"_blank\">juego de intrusos<\/a> Distribuyendo al malware Winos 4.0 se le ha asignado a los apodos Void Arachne y Silver Fox, y el malware tambi\u00e9n se superpone con otro troyano de acceso remoto rastreado como Valleyrat.<\/p>\n<p>&#8220;Ambos se derivan de la misma fuente: GH0st RAT, que se desarroll\u00f3 en China y de c\u00f3digo abierto en 2008&#8221;, dijo Daniel Dos Santos, jefe de investigaci\u00f3n de seguridad de Vedere Labs de ForeCout, a The Hacker News.<\/p>\n<p>&#8220;Winos y Valleyrat son variaciones de la rata GH0st atribuidas a Silver Fox por diferentes investigadores en diferentes puntos en el tiempo. Winos fue un nombre com\u00fanmente utilizado en 2023 y 2024, mientras que ahora Valleyrat se usa m\u00e1s com\u00fanmente. La herramienta est\u00e1 evolucionando constantemente, y tiene las capacidades locales de Troyano\/RAT, as\u00ed como un servidor de comando y control&#8221;.<\/p>\n<p><a rel=\"noopener nofollow\" href=\"https:\/\/www.splunk.com\/en_us\/blog\/security\/valleyrat-insights-tactics-techniques-and-detection-methods.html\" target=\"_blank\">Valleyrat<\/a>identificado por primera vez a principios de 2023, se ha observado recientemente utilizando sitios falsos de Chrome como un conducto para infectar a los usuarios de habla china. Tambi\u00e9n se han empleado esquemas de descarga similares para entregar GH0ST RAT.<\/p>\n<p>Adem\u00e1s, las cadenas de ataque de Winos 4.0 han incorporado lo que se llama un instalador de Cleversoar que se ejecuta mediante un paquete de instalador MSI distribuido como software falso o aplicaciones relacionadas con los juegos. Tambi\u00e9n se ha ca\u00eddo junto a Winos 4.0 a trav\u00e9s de Cleververoar es la fuente abierta <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/Idov31\/Nidhogg\" target=\"_blank\">Nidhogg<\/a> rootkit. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738404898_801_Las-autoridades-estadounidenses-y-holandesas-desmantelan-39-dominios-vinculados-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;El instalador de Cleververoar [&#8230;] Verifica la configuraci\u00f3n del idioma del usuario para verificar si est\u00e1n configurados en chino o vietnamita &#8220;, Rapid7 <a rel=\"noopener nofollow\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2024\/11\/27\/new-cleversoar-installer-targets-chinese-and-vietnamese-users\/\" target=\"_blank\">anotado<\/a> A fines de noviembre de 2024. &#8220;Si el lenguaje no se reconoce, el instalador termina, evitando efectivamente la infecci\u00f3n. Este comportamiento sugiere fuertemente que el actor de amenaza est\u00e1 apuntando principalmente a las v\u00edctimas en estas regiones&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1740680354_35_Silver-Fox-Apt-utiliza-malware-Winos-40-en-ataques-ciberneticos.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1740680354_35_Silver-Fox-Apt-utiliza-malware-Winos-40-en-ataques-ciberneticos.png\" alt=\"\" border=\"0\" data-original-height=\"2062\" data-original-width=\"1920\"\/><\/a><\/div>\n<p>La divulgaci\u00f3n se produce cuando el Silver Fox APT se ha vinculado a una nueva campa\u00f1a que aprovecha las versiones troyanizadas de los espectadores de Philips DiCom para implementar Valleyrat, que luego se usa para soltar un keylogger y un minero de criptomonedas en las computadoras v\u00edctimas. En particular, se ha encontrado que los ataques utilizan una versi\u00f3n vulnerable del controlador de truesight para deshabilitar el software antivirus.<\/p>\n<p>&#8220;Esta campa\u00f1a aprovecha a los televidentes troyanizados de DICOM como se\u00f1uelos para infectar a los sistemas de v\u00edctimas con una puerta trasera (ValleyRat) para el acceso y el control remoto, un keylogger para capturar la actividad y las credenciales de los usuarios, y un minero criptogr\u00e1fico para explotar los recursos del sistema para obtener ganancias financieras&#8221; Forescout &#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/www.forescout.com\/blog\/healthcare-malware-hunt-part-1-silver-fox-apt-targets-philips-dicom-viewers\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/silver-fox-apt-uses-winos-40-malware-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 de febrero de 2025\ue804Ravie LakshmananInteligencia de malware \/ amenazas Una nueva campa\u00f1a se dirige a empresas en<\/p>\n","protected":false},"author":1,"featured_media":1599885,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,26597,2346,4661,6634,4664,110,5382,273784,4669,273783,4654,273782,4659,4653,4655,11924,246983,4665,246984,3875,96259,6984,455,239484,24404],"class_list":["post-1599884","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt","tag-ataques","tag-ataques-ciberneticos","tag-ciberneticos","tag-como-hackear","tag-contra","tag-fox","tag-las-noticias-del-hacker","tag-malware","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-organizaciones","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-silver","tag-taiwanesas","tag-utiliza","tag-violacion","tag-vulnerabilidad-del-software","tag-winos"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1599884","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1599884"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1599884\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1599885"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1599884"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1599884"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1599884"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}