Las autoridades policiales han anunciado que rastrearon a los clientes del malware Smokeloader y detuvieron al menos a cinco personas.<\/p>\n
“En un serie coordinada de acciones<\/a>los clientes de la botnet de pago por instalaci\u00f3n de Smokeloader, operados por el actor conocido como ‘Superstar’, enfrentaron consecuencias como arrestos, b\u00fasquedas en la casa, \u00f3rdenes de arresto o ‘golpes y charlas’, “Europol dicho<\/a> en una declaraci\u00f3n.<\/p>\n Se alega que Superstar ha ejecutado un servicio de pago por instalaci\u00f3n que permiti\u00f3 a sus clientes obtener acceso no autorizado a las m\u00e1quinas de v\u00edctimas, utilizando el cargador como un conducto para implementar cargas \u00fatiles de la pr\u00f3xima etapa de su elecci\u00f3n.<\/p>\n Seg\u00fan la Agencia Europea de Aplicaci\u00f3n de la Ley, el acceso que ofrece el Botnet se utiliz\u00f3 para diversos fines, como el keylogging, el acceso a la c\u00e1mara web, la implementaci\u00f3n de ransomware y la miner\u00eda de criptomonedas.<\/p>\n La \u00faltima acci\u00f3n, parte de un ejercicio coordinado en curso llamado Operation Endgame, que condujo al desmantelamiento de la infraestructura en l\u00ednea asociada con m\u00faltiples operaciones de cargadores de malware como ICEDID, SystemBC, Pikabot, Smokeloader, Bumblebee y TrickBot el a\u00f1o pasado.<\/p>\n Canad\u00e1, la Rep\u00fablica Checa, Dinamarca, Francia, Alemania, los Pa\u00edses Bajos y los Estados Unidos participaron en el esfuerzo de seguimiento que pretende centrarse en el “lado de la demanda” del ecosistema del delito cibern\u00e9tico.<\/p>\n Las autoridades, seg\u00fan Europol, rastrearon a los clientes registrados en una base de datos que fue incautada anteriormente, vinculando sus personajes en l\u00ednea con personas de la vida real y los llamaron para interrogarlos. Se cree que un n\u00famero no especificado de sospechosos opt\u00f3 por cooperar y examinar sus dispositivos personales para recopilar evidencia digital.<\/p>\n “Varios sospechosos revenden los servicios comprados a Smokeloader en un marcado, agregando as\u00ed una capa adicional de inter\u00e9s a la investigaci\u00f3n”, dijo Europol. “Algunos de los sospechosos hab\u00edan asumido que ya no estaban en el radar de la polic\u00eda, solo para llegar a la dura comprensi\u00f3n de que todav\u00eda estaban siendo atacados”.<\/p>\n El desarrollo se produce como Symantec propiedad de Broadcom revel\u00f3<\/a> Detalles de una campa\u00f1a de phishing que emplea el formato de archivo Windows ScreenSaver (SCR) para distribuir un cargador de malware basado en Delphi llamado Modiloader (tambi\u00e9n conocido como DBATLoader y Natsoloader) en las m\u00e1quinas de las v\u00edctimas.<\/p>\n Tambi\u00e9n coincide con una campa\u00f1a web evasiva que enga\u00f1a a los usuarios en la ejecuci\u00f3n de archivos de Installer de Windows (MSI) malicioso para implementar otro malware del cargador denominado Legion Loader.<\/p>\n “Esta campa\u00f1a utiliza un m\u00e9todo llamado ‘pasteando<\/a>‘o’ secuestro de portapapeles ‘porque se les indica a los espectadores que peguen contenido en una ventana de ejecuci\u00f3n “, la unidad de Palo Alto Networks 42 dicho<\/a>Agregarlo aprovecha varias estrategias de tubos para evadir la detecci\u00f3n a trav\u00e9s de p\u00e1ginas Captcha y disfrazar las p\u00e1ginas de descarga de malware como sitios de blogs.<\/p>\n Las campa\u00f1as de phishing tambi\u00e9n han sido un veh\u00edculo de entrega para KOI Loader, que luego se usa para descargar y ejecutar un robador de informaci\u00f3n llamado Koi Stealer como parte de una secuencia de infecci\u00f3n en varias etapas.<\/p>\n “La utilizaci\u00f3n de capacidades anti-VM por malware como Koi Loader y Koi Stealer destaca la capacidad de las amenazas modernas para evadir el an\u00e1lisis y la detecci\u00f3n de analistas, investigadores y cajas de arena”, Esentire “, Esentire dicho<\/a> en un informe publicado el mes pasado.<\/p>\n Y eso no es todo. Los \u00faltimos meses han sido una vez m\u00e1s presenciado<\/a> El regreso de Gootloader (tambi\u00e9n conocido como Slowpour), que se est\u00e1 extendiendo a trav\u00e9s de resultados de b\u00fasqueda patrocinados en Google, una t\u00e9cnica vistia por primera vez a principios de noviembre de 2024.<\/p>\n El ataque se dirige a los usuarios que buscan “plantilla de acuerdo de no divulgaci\u00f3n” en Google para publicar anuncios falsos que, cuando se hacen clic, se redirigen a un sitio (“Lawliner[.]com “) donde se les pide que ingresen sus direcciones de correo electr\u00f3nico para recibir el documento.<\/p>\n “Poco despu\u00e9s de que ingresen su correo electr\u00f3nico, recibir\u00e1n un correo electr\u00f3nico del abogado@skhm[.]org, con un enlace a su documento de Word solicitado (DOCX) “, seg\u00fan un investigador de seguridad que recibe el nombre de Gootloader y ha monitoreado de cerca el cargador de malware durante varios a\u00f1os.<\/p>\n “Si el usuario pas\u00f3 todas sus puertas, descargar\u00e1 un archivo JavaScript con cremallera. Cuando el usuario desabrode y ejecute el archivo JavaScript, se produce el mismo comportamiento Gootloader”.<\/p>\n Tambi\u00e9n manchado es un descargador de JavaScript conocido como FakeUpdates (tambi\u00e9n conocido como Socgholish) que generalmente se propaga a trav\u00e9s de t\u00e1cticas de ingenier\u00eda social que enga\u00f1an a los usuarios para instalar el malware disfrazando como una actualizaci\u00f3n leg\u00edtima para navegadores web como Google Chrome.<\/p>\n “Los atacantes distribuyen malware utilizando recursos comprometidos, inyectando javascript malicioso en sitios vulnerables a hosts de huellas digitales, realizan verificaciones de elegibilidad y muestran p\u00e1ginas de actualizaci\u00f3n falsas,” Google dicho<\/a>. “El malware se entrega com\u00fanmente a trav\u00e9s de descargas de transmisi\u00f3n.<\/p>\n La v\u00eda de ataque de actualizaci\u00f3n del navegador falso tambi\u00e9n se ha observado distribuir otras dos familias de malware JavaScript llamadas FakesMuggles, que se llama as\u00ed por el uso de contrabando HTML para entregar cargas \u00fatiles de la pr\u00f3xima etapa, como NetSupport Manager, y Faketreff, que se comunica con un servidor remoto a una carga \u00fatil adicional como Darkgate y env\u00eda informaci\u00f3n b\u00e1sica de host del host.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Europol-arresta-a-cinco-clientes-de-Smokeloader-vinculados-por-evidencia.jpg\")
<\/a><\/center><\/div>\nLos cargadores de malware vienen en diferentes formas<\/h3>\n
<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\n