{"id":1669966,"date":"2025-04-14T16:29:54","date_gmt":"2025-04-14T16:29:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-campana-resolverrat-se-dirige-a-la-atencion-medica-farmaceutica-a-traves-de-phishing-y-dll-carga-lateral\/"},"modified":"2025-04-14T16:29:58","modified_gmt":"2025-04-14T16:29:58","slug":"la-campana-resolverrat-se-dirige-a-la-atencion-medica-farmaceutica-a-traves-de-phishing-y-dll-carga-lateral","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-campana-resolverrat-se-dirige-a-la-atencion-medica-farmaceutica-a-traves-de-phishing-y-dll-carga-lateral\/","title":{"rendered":"La campa\u00f1a Resolverrat se dirige a la atenci\u00f3n m\u00e9dica, farmac\u00e9utica a trav\u00e9s de phishing y dll carga lateral"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/La-campana-Resolverrat-se-dirige-a-la-atencion-medica-farmaceutica.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto un nuevo y sofisticado troyano de acceso remoto llamado Resolverrat que se ha observado en ataques dirigidos a los sectores de atenci\u00f3n m\u00e9dica y farmac\u00e9utica.<\/p>\n<p>&#8220;El actor de amenaza aprovecha los se\u00f1uelos basados \u200b\u200ben el miedo entregados a trav\u00e9s de correos electr\u00f3nicos de phishing, dise\u00f1ados para presionar a los destinatarios para que haga clic en un enlace malicioso&#8221;, el investigador de Morphisec Labs Nadav Lorber <a rel=\"noopener nofollow\" href=\"https:\/\/www.morphisec.com\/blog\/new-malware-variant-identified-resolverrat-enters-the-maze\/\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News. &#8220;Una vez que se accede, el enlace dirige al usuario que descargue y abra un archivo que desencadena la cadena de ejecuci\u00f3n de ResuelverRat&#8221;.<\/p>\n<p>La actividad, observada tan recientemente como el 10 de marzo de 2025, comparte el mecanismo de infraestructura y de entrega superpuesto con campa\u00f1as de phishing que han entregado malware de robador de informaci\u00f3n como Lumma y Rhadamanthys, seg\u00fan lo documentado por Cisco Talos y Check Point el a\u00f1o pasado.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Un aspecto notable de la campa\u00f1a es el uso de se\u00f1uelos de phishing localizados, con los correos electr\u00f3nicos dise\u00f1ados en los idiomas que se hablan predominantemente en los pa\u00edses objetivo. Esto incluye hindi, italiano, checo, turco, portugu\u00e9s e indonesio, lo que indica los intentos del actor de amenaza de lanzar una red amplia a trav\u00e9s de la orientaci\u00f3n espec\u00edfica de la regi\u00f3n y maximizar las tasas de infecci\u00f3n.<\/p>\n<p>El contenido textual en los mensajes de correo electr\u00f3nico emplea temas relacionados con investigaciones legales o violaciones de derechos de autor que buscan inducir un falso sentido de urgencia y aumentar la probabilidad de interacci\u00f3n del usuario.<\/p>\n<p>La cadena de infecci\u00f3n se caracteriza por el uso de la t\u00e9cnica de carga lateral DLL para iniciar el proceso. La primera etapa es un cargador en memoria que descifra y ejecuta la carga \u00fatil principal al tiempo que incorpora un grupo de trucos para volar bajo el radar. La carga \u00fatil de ResolverRat no solo usa el cifrado y la compresi\u00f3n, sino que tambi\u00e9n existe solo en la memoria una vez que est\u00e1 decodificada.<\/p>\n<p>&#8220;La secuencia de inicializaci\u00f3n del Resolverrat revela un sofisticado proceso de arranque en varias etapas dise\u00f1ado para el sigilo y la resiliencia&#8221;, dijo Lorber, y agreg\u00f3 &#8220;implementa m\u00faltiples m\u00e9todos de persistencia redundantes&#8221; por medio del registro de Windows y en el sistema de archivos instal\u00e1ndose en diferentes ubicaciones como un mecanismo de respaldo.<\/p>\n<p>Una vez lanzado, el malware utiliza una autenticaci\u00f3n basada en certificados a medida antes de establecer el contacto con un servidor de comando y control (C2) de modo que pase por alto las autoridades ra\u00edz de la m\u00e1quina. Tambi\u00e9n implementa un sistema de rotaci\u00f3n IP para conectarse a un servidor C2 alternativo si el servidor C2 primario no est\u00e1 disponible o se retira.<\/p>\n<p>Adem\u00e1s, ResolverRat est\u00e1 equipado con capacidades para evitar los esfuerzos de detecci\u00f3n a trav\u00e9s de la fijaci\u00f3n de certificados, la ofuscaci\u00f3n del c\u00f3digo fuente y los patrones de baliza irregulares al servidor C2.<\/p>\n<p>&#8220;Esta infraestructura C2 avanzada demuestra las capacidades avanzadas del actor de amenaza, que combina comunicaciones seguras, mecanismos de retroceso y t\u00e9cnicas de evasi\u00f3n dise\u00f1adas para mantener el acceso persistente mientras evade la detecci\u00f3n por los sistemas de monitoreo de seguridad&#8221;, dijo Morphisec.<\/p>\n<p>El objetivo final del malware es procesar los comandos emitidos por el servidor C2 y exfiltrar las respuestas hacia atr\u00e1s, rompiendo datos de 1 MB de tama\u00f1o en fragmentos de 16 kb para minimizar las posibilidades de detecci\u00f3n.<\/p>\n<p>La campa\u00f1a a\u00fan no se ha atribuido a un grupo o pa\u00eds espec\u00edfico, aunque las similitudes en los temas de se\u00f1uelo y el uso de la carga lateral de DLL con ataques de phishing previamente observados aluden a una posible conexi\u00f3n.<\/p>\n<p>&#8220;La alineaci\u00f3n [&#8230;] Indica una posible superposici\u00f3n en la infraestructura de actores de amenaza o los libros de jugadas operativas, lo que potencialmente apunta a un modelo afiliado compartido o una actividad coordinada entre los grupos de amenazas relacionados &#8220;, dijo la compa\u00f1\u00eda.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743488507_401_Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El desarrollo se produce cuando Cyfirma detall\u00f3 otro acceso remoto a Neptune Rat que utiliza un enfoque modular basado en complementos para robar informaci\u00f3n, mantener la persistencia en el host, exigir un rescate de $ 500 e incluso sobrescribir el registro de arranque maestro (MBR) para interrumpir el funcionamiento normal del sistema de Windows.<\/p>\n<p>Se est\u00e1 propagando libremente a trav\u00e9s de Github, Telegram y YouTube. Dicho esto, el perfil de GitHub asociado con el malware, llamado <a rel=\"noopener nofollow\" href=\"https:\/\/web.archive.org\/web\/20250409204243\/https:\/\/github.com\/masongroup\" target=\"_blank\">Masongroup<\/a> (tambi\u00e9n conocido como masoner\u00eda), ya no es accesible.<\/p>\n<p>&#8220;Neptuno Rat incorpora t\u00e9cnicas avanzadas contra el an\u00e1lisis y m\u00e9todos de persistencia para mantener su presencia en el sistema de la v\u00edctima durante per\u00edodos prolongados y viene con caracter\u00edsticas peligrosas&#8221;, la compa\u00f1\u00eda <a rel=\"noopener nofollow\" href=\"https:\/\/www.cyfirma.com\/research\/neptune-rat-an-advanced-windows-rat-with-system-destruction-capabilities-and-password-exfiltration-from-270-applications\/\" target=\"_blank\">anotado<\/a> En un an\u00e1lisis publicado la semana pasada.<\/p>\n<p>Incluye un &#8220;Cripto Clipper, robador de contrase\u00f1as con capacidades para exfiltrarse m\u00e1s de m\u00e1s de 270 credenciales de aplicaciones diferentes, capacidades de ransomware y monitoreo de escritorio en vivo, por lo que es una amenaza extremadamente seria&#8221;.<\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/resolverrat-campaign-targets-healthcare.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han descubierto un nuevo y sofisticado troyano de acceso remoto llamado Resolverrat que se<\/p>\n","protected":false},"author":1,"featured_media":1669967,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,812,3372,2333,4664,4193,211675,21097,273784,15789,273783,12803,4654,273782,4659,4653,4655,8178,296500,246983,4665,246984,116,455,239484],"class_list":["post-1669966","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-atencion","tag-campana","tag-carga","tag-como-hackear","tag-dirige","tag-dll","tag-farmaceutica","tag-las-noticias-del-hacker","tag-lateral","tag-malware-de-ransomware","tag-medica","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-phishing","tag-resolverrat","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-traves","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1669966","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1669966"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1669966\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1669967"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1669966"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1669966"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1669966"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}