{"id":1641117,"date":"2025-03-27T13:46:36","date_gmt":"2025-03-27T13:46:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-sitio-web-de-apt36-spoofs-india-post-para-infectar-a-los-usuarios-de-windows-y-android-con-malware\/"},"modified":"2025-03-27T13:46:41","modified_gmt":"2025-03-27T13:46:41","slug":"el-sitio-web-de-apt36-spoofs-india-post-para-infectar-a-los-usuarios-de-windows-y-android-con-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-sitio-web-de-apt36-spoofs-india-post-para-infectar-a-los-usuarios-de-windows-y-android-con-malware\/","title":{"rendered":"El sitio web de APT36 Spoofs India Post para infectar a los usuarios de Windows y Android con malware"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>27 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad m\u00f3vil \/ malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un grupo avanzado de amenaza persistente (APT) con v\u00ednculos con Pakist\u00e1n se ha atribuido a la creaci\u00f3n de un sitio web falso disfrazado de el sistema postal del sector p\u00fablico de la India como parte de una campa\u00f1a dise\u00f1ada para infectar a los usuarios de Windows y Android en el pa\u00eds.<\/p>\n

La compa\u00f1\u00eda de ciberseguridad Cyfirma ha atribuido la campa\u00f1a con confianza media a un actor de amenaza llamado APT36, que tambi\u00e9n se conoce como tribu transparente. <\/p>\n

El sitio web fraudulento que imita India Post se llama “Postindia[.]Sitio. “Se solicita a los usuarios que aterrizan en el sitio desde Windows Systems que descargue un documento PDF, mientras que los que visitan desde un dispositivo Android reciben un archivo de paquete de aplicaciones maliciosas (” IndiaPost.apk “).<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Cuando se accede desde un escritorio, el sitio ofrece un archivo PDF malicioso que contiene t\u00e1cticas ‘ClickFix'”, Cyfirma dicho<\/a>. “El documento instruye a los usuarios que presionen las teclas Win + R, pegue un comando PowerShell proporcionado en el di\u00e1logo Ejecutar y ejecutarlo, lo que puede comprometer el sistema”.<\/p>\n

Un an\u00e1lisis de los datos de EXIF \u200b\u200basociados con el PDF descartado muestra que fue creado el 23 de octubre de 2024 por un autor nombrado “Pmyls<\/a>“Una probable referencia al esquema del port\u00e1til juvenil del primer ministro de Pakist\u00e1n. registrado<\/a> Aproximadamente un mes despu\u00e9s, el 20 de noviembre de 2024.<\/p>\n

\"Sitio<\/a><\/div>\n

El c\u00f3digo PowerShell est\u00e1 dise\u00f1ado para descargar una carga \u00fatil de la pr\u00f3xima etapa desde un servidor remoto (“88.222.245[.]211 “) que actualmente est\u00e1 inactivo.<\/p>\n

Por otro lado, cuando se visita el mismo sitio desde un dispositivo Android, insta a los usuarios a instalar su aplicaci\u00f3n m\u00f3vil para una “mejor experiencia”. La aplicaci\u00f3n, una vez instalada, solicita permisos extensos que le permitan cosechar y exfiltrar datos confidenciales, incluidas las listas de contactos, la ubicaci\u00f3n actual y los archivos del almacenamiento externo.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“La aplicaci\u00f3n de Android cambia su \u00edcono para imitar un icono de cuentas de Google no sospechoso para ocultar su actividad, lo que dificulta que el usuario localice y desinstale la aplicaci\u00f3n cuando desee eliminarla”, dijo la compa\u00f1\u00eda. “La aplicaci\u00f3n tambi\u00e9n tiene una caracter\u00edstica para obligar a los usuarios a aceptar permisos si se les niega en primera instancia”.<\/p>\n

La aplicaci\u00f3n maliciosa tambi\u00e9n est\u00e1 dise\u00f1ada para funcionar en segundo plano continuamente incluso despu\u00e9s de reiniciar un dispositivo, mientras busca expl\u00edcitamente permisos para ignorar la optimizaci\u00f3n de la bater\u00eda. <\/p>\n

“ClickFix est\u00e1 siendo explotado cada vez m\u00e1s por los cibercriminales, estafadores y grupos APT, seg\u00fan lo informado por otros investigadores que observan su uso en la naturaleza”, dijo Cyfirma. “Esta t\u00e1ctica emergente plantea una amenaza significativa, ya que puede apuntar a usuarios desprevenidos y expertos en tecnolog\u00eda que pueden no estar familiarizados con tales m\u00e9todos”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n