{"id":1601990,"date":"2025-03-01T01:06:12","date_gmt":"2025-03-01T01:06:12","guid":{"rendered":"https:\/\/teknomers.com\/es\/sticky-werewolf-usa-implantes-indocumentados-para-desplegar-lumma-stealer-en-rusia-y-bielorrusia\/"},"modified":"2025-03-01T01:06:17","modified_gmt":"2025-03-01T01:06:17","slug":"sticky-werewolf-usa-implantes-indocumentados-para-desplegar-lumma-stealer-en-rusia-y-bielorrusia","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/sticky-werewolf-usa-implantes-indocumentados-para-desplegar-lumma-stealer-en-rusia-y-bielorrusia\/","title":{"rendered":"Sticky Werewolf usa implantes indocumentados para desplegar Lumma Stealer en Rusia y Bielorrusia"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>28 de febrero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Fraude financiero \/ espionaje cibern\u00e9tico<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El actor de amenaza conocido como Hombre lobo pegajoso<\/strong> se ha relacionado con los ataques espec\u00edficos principalmente en Rusia y Bielorrusia con el objetivo de entregar el malware del robador de Lumma mediante un implante previamente indocumentado.<\/p>\n

La compa\u00f1\u00eda de ciberseguridad Kaspersky est\u00e1 rastreando la actividad bajo el nombre de Angry Likho, que seg\u00fan tiene un “fuerte semejanza” para despertar a Likho (tambi\u00e9n conocido como Core Werewolf, Gamacopy y Pseudogamaredon).<\/p>\n

“Sin embargo, los ataques de Angry Likho tienden a ser atacados, con una infraestructura m\u00e1s compacta, una gama limitada de implantes y un enfoque en los empleados de grandes organizaciones, incluidas las agencias gubernamentales y sus contratistas”, la compa\u00f1\u00eda rusa dicho<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Se sospecha que los actores de la amenaza son probables oradores rusos nativos dado el uso de ruso fluido en los archivos de cebo utilizados para desencadenar la cadena de infecci\u00f3n. El mes pasado, la compa\u00f1\u00eda de ciberseguridad F6 (anteriormente FACCT) lo describi\u00f3 como un “grupo cibern\u00e9tico pro-ucraniano”.<\/p>\n

Se ha encontrado que los atacantes destacan principalmente organizaciones en Rusia y Bielorrusia, con cientos de v\u00edctimas identificadas en la primera.<\/p>\n

Anterior<\/a> intrusi\u00f3n actividades<\/a> Asociado con el grupo ha aprovechado los correos electr\u00f3nicos de phishing como un conducto para distribuir varias familias de malware como NetWire, Rhadamanthys, Ozone Rat y una puerta trasera conocida como DarkTrack, la \u00faltima de las cuales se lanza a trav\u00e9s de un cargador llamado Ande Loader.<\/p>\n

\"\"<\/a><\/div>\n

La secuencia de ataque implica el uso de correos electr\u00f3nicos de phishing de lanza con un archivo adjunto atrapado (por ejemplo, archivos de archivo), dentro de los cuales hay dos archivos de acceso directo (LNK) de Windows y un documento de se\u00f1uelo leg\u00edtimo.<\/p>\n

Los archivos de archivo son responsables de avanzar en la actividad maliciosa a la siguiente etapa, desatando un complejo proceso de varias etapas para implementar el robador de informaci\u00f3n de Lumma.<\/p>\n

“Este implante se cre\u00f3 utilizando el instalador leg\u00edtimo de c\u00f3digo abierto, el sistema de instalaci\u00f3n scriptable NullSoft y funciona como un archivo de autoextraci\u00f3n (SFX)”, dijo Kaspersky.<\/p>\n

Se han observado los ataques que incorporan pasos para evadir la detecci\u00f3n por parte de los proveedores de seguridad mediante una verificaci\u00f3n de emuladores y entornos de sandboxed, lo que hace que el malware termine o reanude despu\u00e9s de un retraso de 10,000 ms, una t\u00e9cnica tambi\u00e9n vea en implantes Awaken Likho.<\/p>\n

Esta superposici\u00f3n ha planteado la posibilidad de que los atacantes detr\u00e1s de las dos campa\u00f1as compartan la misma tecnolog\u00eda o probablemente el mismo grupo que usa un conjunto diferente de herramientas para diferentes objetivos y tareas.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Lumma Stealer est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n de software del sistema e instalada de dispositivos comprometidos, as\u00ed como datos confidenciales como cookies, nombres de usuario, contrase\u00f1as, n\u00fameros de tarjetas bancarias y registros de conexi\u00f3n. Tambi\u00e9n es capaz de robar datos de varios navegadores web, billeteras de criptomonedas, extensiones de navegador Cryptowallet (Metamask), autenticadores y de aplicaciones Anydesk y Keepass.<\/p>\n

“Los \u00faltimos ataques del grupo utilizan el Lumma Stealer, que recopila una gran cantidad de datos de dispositivos infectados, incluidos los detalles bancarios almacenados en el navegador y los archivos de CryptoWallet”, dijo Kaspersky.<\/p>\n

“El grupo se basa en utilidades maliciosas f\u00e1cilmente disponibles obtenidas de los foros de Darknet, en lugar de desarrollar sus propias herramientas. El \u00fanico trabajo que hacen es escribir mecanismos de entrega de malware al dispositivo de la v\u00edctima y elaborar correos electr\u00f3nicos de phishing dirigidos”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n