{"id":1615165,"date":"2025-03-10T14:25:18","date_gmt":"2025-03-10T14:25:18","guid":{"rendered":"https:\/\/teknomers.com\/es\/desert-dexter-se-dirige-a-900-victimas-que-usan-anuncios-de-facebook-y-enlaces-de-malware-de-telegrama\/"},"modified":"2025-03-10T14:25:23","modified_gmt":"2025-03-10T14:25:23","slug":"desert-dexter-se-dirige-a-900-victimas-que-usan-anuncios-de-facebook-y-enlaces-de-malware-de-telegrama","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/desert-dexter-se-dirige-a-900-victimas-que-usan-anuncios-de-facebook-y-enlaces-de-malware-de-telegrama\/","title":{"rendered":"Desert Dexter se dirige a 900 v\u00edctimas que usan anuncios de Facebook y enlaces de malware de telegrama"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>10 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Robo de datos \/ criptomoneda<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Medio Oriente y \u00c1frica del Norte se han convertido en el objetivo de una nueva campa\u00f1a que ofrece una versi\u00f3n modificada de un malware conocido llamado As\u00edncrata<\/a> desde septiembre de 2024.<\/p>\n

“La campa\u00f1a, que aprovecha las redes sociales para distribuir malware, est\u00e1 vinculada al clima geopol\u00edtico actual de la regi\u00f3n”, los investigadores de tecnolog\u00edas positivas Klimentiy Galkin y Stanislav Pyzhov dicho<\/a> En un an\u00e1lisis publicado la semana pasada. “Los atacantes alojan malware en cuentas leg\u00edtimas de intercambio de archivos en l\u00ednea o canales de telegrama configurados especialmente para este prop\u00f3sito”.<\/p>\n

Se estima que la campa\u00f1a reclam\u00f3 aproximadamente 900 v\u00edctimas desde el oto\u00f1o de 2024, agreg\u00f3 la compa\u00f1\u00eda de ciberseguridad rusa, lo que indica su naturaleza generalizada. La mayor\u00eda de las v\u00edctimas se encuentran en Libia, Arabia Saudita, Egipto, Turqu\u00eda, Emiratos \u00c1rabes Unidos, Qatar y T\u00fanez.<\/p>\n

La actividad, atribuida a un actor de amenaza denominado Desierto Dexter<\/strong>fue descubierto en febrero de 2025. Involucra principalmente a crear cuentas temporales y canales de noticias en Facebook. Estas cuentas se utilizan para publicar anuncios que contienen enlaces a un servicio de intercambio de archivos o canal de telegrama.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Los enlaces, a su vez, redirigen a los usuarios a una versi\u00f3n del malware Asyncrat que se ha alterado para incluir un keylogger fuera de l\u00ednea; buscar 16 extensiones y aplicaciones de billetera de criptomonedas diferentes; y comunicarse con un bot de telegrama.<\/p>\n

La cadena Kill comienza con un archivo RAR que incluye un script por lotes o un archivo JavaScript, que se programan para ejecutar un script PowerShell que es responsable de desencadenar la segunda etapa del ataque.<\/p>\n

Espec\u00edficamente, termina los procesos asociados con varios servicios .NET que podr\u00edan evitar que el malware comience, elimine los archivos con las extensiones BAT, PS1 y VBS de “C: ProgramData WindowShost” y “C: Usuarios Public” y crea un archivo nuevo VBS en C: ProgramData WindowShost y BAT y PS1 en C: Useros Public Public.<\/p>\n

Luego, el script establece la persistencia en el sistema, re\u00fane y exfila la informaci\u00f3n del sistema a un bot de telegrama, toma una captura de pantalla y, en \u00faltima instancia, lanza la carga \u00fatil de Asyncrat al inyectarla en el ejecutable “aspnet_compiler.exe”.<\/p>\n

\"\"<\/a><\/div>\n

Actualmente no se sabe qui\u00e9n est\u00e1 detr\u00e1s de la campa\u00f1a, aunque los comentarios del idioma \u00e1rabe en el archivo JavaScript aluden a su posible origen.<\/p>\n

Un an\u00e1lisis posterior de los mensajes enviados al Bot de Telegram ha revelado capturas de pantalla del escritorio del atacante llamado “Dextermsi”, con el script de PowerShell, as\u00ed como una herramienta llamada Rata de enlace de luminosidad<\/a>. Tambi\u00e9n est\u00e1 presente en Telegram Bot hay un enlace a un canal de telegrama llamado “h\u00e1bilmente<\/a>“Sugeriendo que el actor de amenaza podr\u00eda ser de Libia. El canal fue creado el 5 de octubre de 2024.<\/p>\n

“La mayor\u00eda de las v\u00edctimas son usuarios comunes, incluidos los empleados en los siguientes sectores: producci\u00f3n de petr\u00f3leo, construcci\u00f3n, tecnolog\u00eda de la informaci\u00f3n, [and] Agricultura “, dijeron los investigadores.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Las herramientas utilizadas por Desert Dexter no son particularmente sofisticadas. Sin embargo, la combinaci\u00f3n de anuncios de Facebook con servicios leg\u00edtimos y referencias a la situaci\u00f3n geopol\u00edtica ha llevado a la infecci\u00f3n de numerosos dispositivos”.<\/p>\n

El desarrollo se produce como Qianxin revel\u00f3<\/a> Detalles de una campa\u00f1a de phishing de lanza denominado Elephant Sea elefante que se ha encontrado dirigido a instituciones de investigaci\u00f3n cient\u00edfica en China con el objetivo de entregar una puerta trasera capaz de cosechar informaci\u00f3n confidencial relacionada con las ciencias y las tecnolog\u00edas oce\u00e1nicas.<\/p>\n

La actividad se ha atribuido a un cl\u00faster llamado UTG-Q-011, que, seg\u00fan dijo, es un subconjunto dentro de otro colectivo adversario llamado CNC Group que comparte superposiciones t\u00e1cticas con Patchwork, un actor de amenaza sospechoso<\/a> ser de la India.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n