Se ha observado que los actores de amenaza distribuyen cargas \u00fatiles maliciosas como el minero de criptomonedas y el malware Clipper a trav\u00e9s de Fuente de la fuente<\/a>un servicio de alojamiento de software popular, bajo la apariencia de versiones agrietadas de aplicaciones leg\u00edtimas como Microsoft Office.<\/p>\n “Uno de esos proyectos, OfficePackage, en el sitio web principal SourceForge.net, parece bastante inofensivo, que contiene complementos de Microsoft Office copiados de un proyecto leg\u00edtimo de GitHub”, Kaspersky dicho<\/a> en un informe publicado hoy. “La descripci\u00f3n y el contenido de OfficePackage que se proporcionan a continuaci\u00f3n tambi\u00e9n fueron tomados de GitHub”.<\/p>\n Mientras que cada proyecto creado en SourceForge.net se asigna<\/a> a “ Adem\u00e1s de eso, flotar sobre el bot\u00f3n de descarga revela una URL aparentemente leg\u00edtima en la barra de estado del navegador: “Carga.[.]IO\/Descargar, dando la impresi\u00f3n de que el enlace de descarga est\u00e1 asociado con SourceForge. Sin embargo, hacer clic en el enlace redirige al usuario a una p\u00e1gina completamente diferente alojada en “Taplink[.]CC “que prominentemente muestra otro bot\u00f3n de descarga.<\/p>\n Si las v\u00edctimas hacen clic en el bot\u00f3n de descarga, se les sirve un archivo ZIP de 7 MB (“Vinstaller.zip”), que, cuando se abre, contiene un segundo archivo protegido por contrase\u00f1a (“instalador.zip”) y un archivo de texto con la contrase\u00f1a para abrir el archivo.<\/p>\n Presente dentro del nuevo archivo ZIP hay un instalador MSI responsable de crear varios archivos, una utilidad de archivo de consola llamada “unrar.exe”, un archivo RAR y un script de Visual Basic (VB).<\/p>\n “El script VB ejecuta un int\u00e9rprete PowerShell para descargar y ejecutar un archivo por lotes, Confvk, desde Github”, dijo Kaspersky. “Este archivo contiene la contrase\u00f1a para el archivo RAR. Tambi\u00e9n desempaqueta los archivos maliciosos y ejecuta el script de la siguiente etapa”.<\/p>\n El archivo por lotes tambi\u00e9n est\u00e1 dise\u00f1ado para ejecutar dos scripts de PowerShell, uno de los cuales env\u00eda metadatos del sistema utilizando la API de Telegram. El otro archivo descarga otro script por lotes que luego act\u00faa sobre el contenido del archivo de RAR, que finalmente lanza las cargas \u00fatiles de Miner y Clipper Malware (tambi\u00e9n conocido como ClipBanker).<\/p>\n Tambi\u00e9n se ha descartado el ejecutable de NetCat (“ShellexPerienceHost.exe”) que establece una conexi\u00f3n encriptada con un servidor remoto. Eso no es todo. Se ha encontrado que el archivo de lotes de Confvk crea otro archivo llamado “ErrorHandler.cmd” que contiene un script PowerShell programado para recuperar y ejecutar una cadena de texto a trav\u00e9s de la API de Telegram.<\/p>\n El hecho de que el sitio web tenga una interfaz rusa indica un enfoque en los usuarios de habla rusa. Los datos de telemetr\u00eda muestran que el 90% de las v\u00edctimas potenciales se encuentran en Rusia, con 4.604 usuarios que encuentran el esquema entre principios de enero y finales de marzo.<\/p>\n Con el SourceForge[.]Las p\u00e1ginas IO indexadas por los motores de b\u00fasqueda y que aparecen en los resultados de b\u00fasqueda, se cree que los usuarios rusos que buscan Microsoft Office en Yandex probablemente sean el objetivo de la campa\u00f1a.<\/p>\n “A medida que los usuarios buscan formas de descargar aplicaciones fuera de las fuentes oficiales, los atacantes ofrecen las suyas”, dijo Kaspersky. “Si bien el ataque se dirige principalmente a la criptomoneda al desplegar un minero y un clipanker, los atacantes podr\u00edan vender acceso del sistema a actores m\u00e1s peligrosos”.<\/p>\n La divulgaci\u00f3n se produce cuando la compa\u00f1\u00eda revel\u00f3 detalles de una campa\u00f1a que est\u00e1 distribuyendo un descargador de malware llamado Tomas<\/a> a trav\u00e9s de sitios fraudulentos<\/a> Sobre el chatbot de inteligencia artificial (IA) de Deepseek, as\u00ed como de escritorio remoto y software de modelado 3D.<\/p>\n Esto incluye sitios web como Deepseek-Ai-Soft[.]com, a la que se redirigen a los usuarios desprevenidos a trav\u00e9s de los resultados de b\u00fasqueda de Google patrocinados, por Malwarebytes<\/a>.<\/p>\n Takeps est\u00e1 dise\u00f1ado para descargar y ejecutar scripts de PowerShell que otorgan acceso remoto al host infectado a trav\u00e9s de SSH, y eliminan una versi\u00f3n modificada de un troyano denominado Tevirat. Esto resalta los intentos del actor de amenaza de obtener acceso completo a la computadora de la v\u00edctima de varias maneras.<\/p>\n “La muestra […] Utiliza la forma lateral de DLL para modificar e implementar el software de acceso remoto de TeamViewer en dispositivos infectados “, dijo Kaspersky.” En t\u00e9rminos simples, los atacantes colocan una biblioteca maliciosa en la misma carpeta que TeamViewer, que altera el comportamiento y la configuraci\u00f3n predeterminados del software, ocult\u00e1ndolo del usuario y proporcionando a los atacantes acceso remoto remoto “.<\/p>\n El desarrollo tambi\u00e9n sigue el descubrimiento de los anuncios maliciosos de Google para RVTools, una popular utilidad de VMware, para entregar una versi\u00f3n manipulada que est\u00e1 mezclada con Thundershell (tambi\u00e9n conocido como Smokedham), una herramienta de acceso remoto (RAT) basada en PowerShell (RAT) que subraya c\u00f3mo sigue siendo una amenaza persistente y de evoluci\u00f3n.<\/p>\n “Thundershell, a veces llamado Smokedham, es un marco de explotaci\u00f3n disponible p\u00fablicamente dise\u00f1ado para el equipo rojo y las pruebas de penetraci\u00f3n”, Field Effect dicho<\/a>. “Proporciona un entorno de comando y control (C2) que permite a los operadores ejecutar comandos en m\u00e1quinas comprometidas a trav\u00e9s de un agente basado en PowerShell”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Minero-de-criptomonedas-y-malware-Clipper-se-extienden-a-traves.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n