Microsoft est\u00e1 llamando la atenci\u00f3n sobre una campa\u00f1a de malvertimiento continuo que hace uso de Node.js para ofrecer cargas \u00fatiles maliciosas capaces de robo de informaci\u00f3n y exfiltraci\u00f3n de datos.<\/p>\n
La actividad, Primero detectado<\/a> En octubre de 2024, utiliza se\u00f1uelos relacionados con el comercio de criptomonedas para enga\u00f1ar a los usuarios para que instalen un instalador deshonesto de sitios web fraudulentos que se disfrazan de software leg\u00edtimo como Binance o TradingView.<\/p>\n El instalador descargado viene integrado con una biblioteca de enlace din\u00e1mico (“Customations.dll”) que es responsable de cosechar informaci\u00f3n b\u00e1sica del sistema utilizando Windows Management Instrumentation (WMI) y configurar la persistencia en el host a trav\u00e9s de una tarea programada.<\/p>\n En un intento por mantener la artima\u00f1a, el DLL lanza una ventana del navegador a trav\u00e9s de “msedge_proxy.exe<\/a>“Eso muestra el sitio web leg\u00edtimo de comercio de criptomonedas. Vale la pena se\u00f1alar que” msedge_proxy.exe “puede usarse para mostrar cualquier sitio web como una aplicaci\u00f3n web.<\/p>\n Mientras tanto, la tarea programada est\u00e1 configurada para ejecutar los comandos de PowerShell para descargar desde un servidor remoto scripts adicionales, que se encargan de excluir el proceso de PowerShell en ejecuci\u00f3n, as\u00ed como el directorio actual de ser escaneado por Microsoft Defender para el punto final como una forma de evitar la detecci\u00f3n.<\/p>\n Una vez que se establecen las exclusiones, se ejecuta un comando de PowerShell ofuscado para obtener scripts de URL remotas que son capaces de recopilar informaci\u00f3n extensa relacionada con el sistema de operaciones, BIOS, hardware y aplicaciones instaladas.<\/p>\n Todos los datos capturados se convierten en formato JSON y se env\u00edan al servidor de comando y control (C2) utilizando una solicitud de publicaci\u00f3n HTTPS.<\/p>\n La cadena de ataque luego procede a la siguiente fase donde se inicia otro script de PowerShell para descargar un archivo de archivo del C2 que contiene el binario Node.js Runtime y un archivo JavaScript compilado (JSC). El ejecutable Node.js inicia la ejecuci\u00f3n del archivo JSC, que va a establecer conexiones de red y probablemente informaci\u00f3n del navegador sensible al sif\u00f3n.<\/p>\n En una secuencia de infecci\u00f3n alternativa observada por Microsoft, la estrategia ClickFix se ha empleado para habilitar la ejecuci\u00f3n en l\u00ednea de JavaScript, utilizando un comando malicioso de PowerShell para descargar el binario Node.js y usarla para ejecutar el c\u00f3digo JavaScript directamente, en lugar de desde un archivo.<\/p>\n El JavaScript en l\u00ednea lleva a cabo actividades de descubrimiento de red para identificar activos de alto valor, disfraza el tr\u00e1fico C2 como una actividad leg\u00edtima de CloudFlare para volar bajo el radar y gana persistencia al modificar las teclas de ejecuci\u00f3n del registro de Windows.<\/p>\n “Node.js es un entorno de tiempo de ejecuci\u00f3n de JavaScript de c\u00f3digo abierto y de c\u00f3digo abierto que permite que el c\u00f3digo JavaScript se ejecute fuera de un navegador web”, dijo el gigante tecnol\u00f3gico. “Los desarrolladores lo usan y conf\u00edan ampliamente porque les permite construir aplicaciones frontendas y de back -end”.<\/p>\n “Sin embargo, los actores de amenaza tambi\u00e9n est\u00e1n aprovechando estas caracter\u00edsticas de nodo.js para tratar de combinar malware con aplicaciones leg\u00edtimas, omitir los controles de seguridad convencionales y persistir en entornos de destino”.<\/p>\n La divulgaci\u00f3n se produce cuando CloudSek revel\u00f3 que un sitio de convertidor PDF a Docx falso que se esfuerza por Candy (CandyXPDF[.]com o CandyConverterpdf[.]com) se ha encontrado aprovechando el truco de ingenier\u00eda social de ClickFix para convencer a las v\u00edctimas en la ejecuci\u00f3n de comandos de PowerShell codificados que finalmente implementan malware Sectoprat (tambi\u00e9n conocido como ARECHCLIENT2).<\/p>\n “Los actores de amenaza replicaron meticulosamente la interfaz de usuario de la plataforma genuina y registraron nombres de dominio de aspecto similar para enga\u00f1ar a los usuarios”, el investigador de seguridad Varun Ajmera dicho<\/a> En un informe publicado esta semana.<\/p>\n “El vector de ataque implica enga\u00f1ar a las v\u00edctimas para que ejecute un comando PowerShell que instale malware ARECHCLIENT2, una variante de la familia Dangean Sectoprat Information Stealer conocida por cosechar datos confidenciales de sistemas comprometidos”.<\/p>\n Las campa\u00f1as de phishing tambi\u00e9n han sido observado<\/a> Utilizando un kit basado en PHP para atacar a los empleados de las empresas con estafas con temas de recursos humanos (recursos humanos) para obtener acceso no autorizado a los portales de n\u00f3mina y cambiar la informaci\u00f3n de la cuenta bancaria de las v\u00edctimas para redirigir los fondos a una cuenta bajo el control del actor de amenaza.<\/p>\n Algunos de estos actividades<\/a> han sido atribuidos a un grupo de pirater\u00eda llamado Piratas de n\u00f3mina<\/a>con los atacantes utilizando campa\u00f1as de publicidad de b\u00fasqueda maliciosa con sitios web de phishing patrocinados y p\u00e1ginas de recursos humanos falsificadas a trav\u00e9s de Google para atraer a las v\u00edctimas desprevenidas a proporcionar sus credenciales y c\u00f3digos de autenticaci\u00f3n de dos factores (2FA).<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/La-campana-de-malware-nodejs-se-dirige-a-usuarios-criptograficos.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n