{"id":1629377,"date":"2025-03-19T21:05:03","date_gmt":"2025-03-19T21:05:03","guid":{"rendered":"https:\/\/teknomers.com\/es\/clearfake-infecta-9-300-sitios-utiliza-recaptcha-falso-y-torniquete-para-difundir-los-robadores-de-informacion\/"},"modified":"2025-03-19T21:05:08","modified_gmt":"2025-03-19T21:05:08","slug":"clearfake-infecta-9-300-sitios-utiliza-recaptcha-falso-y-torniquete-para-difundir-los-robadores-de-informacion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/clearfake-infecta-9-300-sitios-utiliza-recaptcha-falso-y-torniquete-para-difundir-los-robadores-de-informacion\/","title":{"rendered":"Clearfake infecta 9.300 sitios, utiliza recaptcha falso y torniquete para difundir los robadores de informaci\u00f3n"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad en la nube \/ seguridad web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Clearfake-infecta-9300-sitios-utiliza-recaptcha-falso-y-torniquete-para.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los actores de amenaza detr\u00e1s del <strong>Clearfake<\/strong> La campa\u00f1a est\u00e1 utilizando verificaciones falsas de recaptcha o nube de tornas de nubes como se\u00f1uelos para enga\u00f1ar a los usuarios para que descarguen malware como Lumma Stealer y Vidar Stealer.<\/p>\n<p>ClearFake, destacado por primera vez en julio de 2023, es el nombre dado a un cl\u00faster de actividad de amenaza que emplea <a rel=\"noopener nofollow\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/are-you-sure-your-browser-date-current-landscape-fake-browser-updates\" target=\"_blank\">cebos de actualizaci\u00f3n del navegador web falso<\/a> en WordPress comprometido como un vector de distribuci\u00f3n de malware.<\/p>\n<p>La campa\u00f1a tambi\u00e9n es conocida por confiar en otra t\u00e9cnica conocida como Etherhiding para obtener la carga \u00fatil de la pr\u00f3xima etapa utilizando los contratos de la cadena inteligente (BSC) de Binance como una forma de hacer que la cadena de ataque sea m\u00e1s resistente. El objetivo final de estas cadenas de infecci\u00f3n es entregar malware que roba informaci\u00f3n capaz de dirigirse a los sistemas Windows y MacOS.<\/p>\n<p>A partir de mayo de 2024, los ataques ClearFake han adoptado lo que ya se ha conocido como ClickFix, un <a rel=\"noopener nofollow\" href=\"https:\/\/www.seqrite.com\/blog\/fake-captcha-lures-victims-lumma-stealer-abuses-clipboard-and-powershell\/\" target=\"_blank\">estratagema de ingenier\u00eda social<\/a> Eso implica enga\u00f1ar a los usuarios para ejecutar el c\u00f3digo de PowerShell malicioso bajo la apariencia de abordar un problema t\u00e9cnico inexistente.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Aunque esta nueva variante ClearFake contin\u00faa dependiendo de la t\u00e9cnica de ethiding y la t\u00e1ctica de clickFix, ha introducido interacciones adicionales con la cadena inteligente de binance&#8221;, Sekoia <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sekoia.io\/clearfakes-new-widespread-variant-increased-web3-exploitation-for-malware-delivery\/\" target=\"_blank\">dicho<\/a> En un nuevo an\u00e1lisis.<\/p>\n<p>&#8220;Al utilizar las interfaces binarias de aplicaciones de Smart Contract, estas interacciones implican cargar m\u00faltiples c\u00f3digos de JavaScript y recursos adicionales que imprpongan el sistema de la v\u00edctima, as\u00ed como descargar, descifrar y mostrar el se\u00f1uelo de ClickFix&#8221;.<\/p>\n<p>La \u00faltima iteraci\u00f3n del marco ClearFake marca una evoluci\u00f3n significativa, adoptando las capacidades de Web3 para resistir el an\u00e1lisis y encriptar el c\u00f3digo HTML relacionado con ClickFix.<\/p>\n<p>El resultado neto es una secuencia de ataque de varias etapas actualizada que se inicia cuando una v\u00edctima visita un sitio comprometido, que luego conduce a la recuperaci\u00f3n de un c\u00f3digo JavaScript intermedio de BSC. El JavaScript cargado es posteriormente responsable de hacer huellas dactilares el sistema y obtener el c\u00f3digo CLICHIX cifrado alojado en las p\u00e1ginas de CloudFlare.<\/p>\n<p>Si la v\u00edctima sigue y ejecuta el comando malicioso de PowerShell, conduce al despliegue del cargador Emmenhtal (tambi\u00e9n conocido como Peaklight) que posteriormente deja caer Lumma Stealer.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1742418302_328_Clearfake-infecta-9300-sitios-utiliza-recaptcha-falso-y-torniquete-para.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1742418302_328_Clearfake-infecta-9300-sitios-utiliza-recaptcha-falso-y-torniquete-para.png\" alt=\"Recaptcha falso y torniquete\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"Recaptcha falso y torniquete\"\/><\/a><\/div>\n<p>Sekoia dijo que observ\u00f3 una cadena alternativa de ataque Clearfake a fines de enero de 2025 que sirvi\u00f3 a un cargador de PowerShell responsable de instalar Vidar Stealer. Hasta el mes pasado, al menos 9.300 sitios web se han infectado con Clearfake.<\/p>\n<p>&#8220;El operador ha actualizado constantemente el c\u00f3digo de marco, los se\u00f1uelos y las cargas \u00fatiles distribuidas a diario&#8221;, agreg\u00f3. &#8220;La ejecuci\u00f3n de ClearFake ahora se basa en m\u00faltiples datos almacenados en la cadena inteligente de Binance, incluido el c\u00f3digo JavaScript, la tecla AES, las URL que alojan archivos HTML y comandos de ClickFix PowerShell&#8221;.<\/p>\n<p>&#8220;El n\u00famero de sitios web comprometidos por Clearfake sugiere que esta amenaza sigue siendo generalizada y afecta a muchos usuarios en todo el mundo. En julio de 2024, [&#8230;] Aproximadamente 200,000 usuarios \u00fanicos estaban potencialmente expuestos a los se\u00f1uelos de Clearfake alent\u00e1ndolos a descargar malware &#8220;.<\/p>\n<p>El desarrollo se produce cuando se han descubierto m\u00e1s de 100 sitios de concesionario de autom\u00f3viles comprometidos con <a rel=\"noopener nofollow\" href=\"https:\/\/www.hhs.gov\/sites\/default\/files\/clickfix-attacks-sector-alert-tlpclear.pdf\" target=\"_blank\">Se\u00f1uelos de clickfix<\/a> Eso lleva a la implementaci\u00f3n de malware Sectoprat.<\/p>\n<p>&#8220;Donde ocurri\u00f3 esta infecci\u00f3n en los concesionarios de autom\u00f3viles no fue en el sitio web del concesionario, sino en un servicio de video de terceros&#8221;, &#8220;,&#8221;, <a rel=\"noopener nofollow\" href=\"https:\/\/rmceoin.github.io\/malware-analysis\/2025\/03\/13\/supply-chain.html\" target=\"_blank\">dicho<\/a> El investigador de seguridad Randy McEoin, quien detall\u00f3 algunos de los primeros <a rel=\"noopener nofollow\" href=\"https:\/\/rmceoin.github.io\/malware-analysis\/2023\/08\/06\/clearfake.html\" target=\"_blank\">Clearfake Campa\u00f1as<\/a> en 2023, describiendo el incidente como una instancia de un ataque de la cadena de suministro.<\/p>\n<p>El servicio de video en cuesti\u00f3n es Les Automotive (&#8220;IDostream[.]com &#8220;), que desde entonces ha eliminado la inyecci\u00f3n maliciosa de JavaScript del sitio.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los hallazgos tambi\u00e9n coinciden con el descubrimiento de varias campa\u00f1as de phishing que est\u00e1n dise\u00f1adas para empujar a varias familias de malware y realizar la cosecha de credenciales,<\/p>\n<ul>\n<li>Usando <a rel=\"noopener nofollow\" href=\"https:\/\/www.forcepoint.com\/blog\/x-labs\/venomrat-malware-uses-virtual-hard-drives\" target=\"_blank\">archivos de disco duro virtual (VHD)<\/a> Incrustado dentro de los archivos adjuntos de archivo en mensajes de correo electr\u00f3nico para distribuir Venom Rat por medio de un script por lotes de Windows<\/li>\n<li>Usando <a rel=\"noopener nofollow\" href=\"https:\/\/www.seqrite.com\/blog\/steganographic-campaign-distributing-malware\/\" target=\"_blank\">Adjuntos de archivo de Microsoft Excel<\/a> que explota una falla de seguridad conocida (CVE-2017-0199) para descargar una aplicaci\u00f3n HTML (HTA) que luego usa Script Visual Basic (VBS) para obtener una imagen, que contiene otra carga \u00fatil responsable de decodificar y lanzar Asyncrat y REMCOS RAT<\/li>\n<li>Explotaci\u00f3n <a rel=\"noopener nofollow\" href=\"https:\/\/guardz.com\/blog\/sophisticated-phishing-campaign-exploiting-microsoft-365-infrastructure\/\" target=\"_blank\">Configuraciones err\u00f3neas en la infraestructura de Microsoft 365<\/a> Para tomar el control de los inquilinos, crear nuevas cuentas administrativas y entregar contenido de phishing que pase por alto las protecciones de seguridad de correo electr\u00f3nico y, en \u00faltima instancia, facilite la recolecci\u00f3n de credenciales y la adquisici\u00f3n de cuentas (ATO)<\/li>\n<\/ul>\n<p>A medida que las campa\u00f1as de ingenier\u00eda social contin\u00faan siendo m\u00e1s sofisticadas, es esencial que las organizaciones y las empresas se mantengan a la vanguardia de la curva e implementen la autenticaci\u00f3n s\u00f3lida y los mecanismos de control de acceso contra las t\u00e9cnicas adversas en el medio (AITM) y las t\u00e9cnicas de navegador en el medio (BITM) que permiten a los atacantes acoltar cuentas.<\/p>\n<p>&#8220;Un beneficio fundamental de emplear un marco de BITM radica en su capacidad de orientaci\u00f3n r\u00e1pida, lo que le permite llegar a cualquier sitio web en la web en cuesti\u00f3n de segundos y con una configuraci\u00f3n m\u00ednima&#8221;, Mandiant propiedad de Google <a rel=\"noopener nofollow\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/session-stealing-browser-in-the-middle\" target=\"_blank\">dicho<\/a> En un informe publicado esta semana.<\/p>\n<p>&#8220;Una vez que una aplicaci\u00f3n se dirige a trav\u00e9s de una herramienta o marco de BITM, el sitio leg\u00edtimo se sirve a trav\u00e9s de un navegador controlado por el atacante. Esto hace que la distinci\u00f3n entre un sitio leg\u00edtimo y falso excepcionalmente desafiante para una v\u00edctima.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/clearfake-infects-9300-sites-uses-fake.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 de marzo de 2025\ue804Ravie LakshmananSeguridad en la nube \/ seguridad web Los actores de amenaza detr\u00e1s del<\/p>\n","protected":false},"author":1,"featured_media":1629378,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,217215,4664,11821,21838,38527,768,273784,36,273783,4654,273782,4659,4653,4655,18,287468,283951,246983,4665,246984,3260,287469,6984,455,239484],"class_list":["post-1629377","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-clearfake","tag-como-hackear","tag-difundir","tag-falso","tag-infecta","tag-informacion","tag-las-noticias-del-hacker","tag-los","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-recaptcha","tag-robadores","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sitios","tag-torniquete","tag-utiliza","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1629377","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1629377"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1629377\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1629378"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1629377"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1629377"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1629377"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}