Las empresas rusas han sido atacadas como parte de una campa\u00f1a de phishing a gran escala que est\u00e1 dise\u00f1ada para entregar un malware conocido llamado Darkwatchman<\/strong>.<\/p>\n Los objetivos de los ataques incluyen entidades en los medios de comunicaci\u00f3n, turismo, finanzas y seguros, fabricaci\u00f3n, venta minorista, energ\u00eda, telecomunicaciones, transporte y sectores de biotecnolog\u00eda, empresa rusa de seguridad cibern\u00e9tica F6 dicho<\/a>.<\/p>\n Se eval\u00faa que la actividad es el trabajo de un grupo motivado financieramente llamado Hive0117, que ha sido atribuido por IBM X-Force a ataques dirigidos a usuarios en Lituania, Estonia y Rusia que abarcan sectores de telecomunicaciones, electr\u00f3nicos e industriales.<\/p>\n Luego, en septiembre de 2023, el malware Darkwatchman fue una vez m\u00e1s usado<\/a> En una campa\u00f1a de phishing dirigida a las industrias de seguridad de energ\u00eda, finanzas, transporte y software con sede en Rusia, Kazajst\u00e1n, Letonia y Estonia.<\/p>\n Bancos, minoristas y mercados rusos, operadores de telecomunicaciones, empresas agroindustriales, compa\u00f1\u00edas de combustible y energ\u00eda, negocios de log\u00edstica y empresas de TI fueron se\u00f1al\u00f3<\/a> Nuevamente en noviembre de 2023 con Darkwatchman utilizando se\u00f1uelos con tem\u00e1tica de entrega de mensajer\u00eda.<\/p>\n Darkwatchman, un troyano de acceso remoto basado en JavaScript, es capaz de keylogging, recopilar informaci\u00f3n del sistema e implementar cargas \u00fatiles secundarias. Fue documentado por primera vez en diciembre de 2021.<\/p>\n “La naturaleza sin archivo del malware Darkwatchman, y su uso de JavaScript y un keylogger escrito en C#, as\u00ed como la capacidad de eliminar trazas de su existencia en sistemas comprometidos cuando se les indica, son evidencia de capacidades algo sofisticadas”, se\u00f1al\u00f3 IBM en 2023.<\/p>\n El \u00faltimo conjunto de ataques implica enviar correos electr\u00f3nicos de phishing que contienen archivos maliciosos protegidos por contrase\u00f1a que, una vez abiertos, ofrecen una variante de Darkwatchman con capacidades mejoradas para evadir la detecci\u00f3n.<\/p>\n La divulgaci\u00f3n se produce cuando IBM X-Force dijo que una entidad no especificada dentro del sector de defensa de Ucrania fue atacada en la primera mitad de 2024 con un trasero de Windows previamente indocumentado llamado Alguacil<\/strong>.<\/p>\n “El actor de amenaza utiliz\u00f3 un portal de noticias popular en Ucrania, UKR.NET, para organizar la puerta trasera del sheriff”, el investigador de seguridad Golo M\u00fchr dicho<\/a> en un informe publicado a fines de marzo de 2025. “La puerta trasera modular puede ejecutar comandos dirigidos por el actor, recopilar capturas de pantalla y exfiltrar los datos de v\u00edctimas con la API de almacenamiento en la nube de Dropbox”.<\/p>\n “El malware se centra en exfiltrar datos y tomar capturas de pantalla mientras mantiene un perfil bajo dise\u00f1ado para compromisos prolongados”.<\/p>\n Se sospecha que el sitio web puede haber sido violado para organizar el malware a principios de marzo de 2024. El sheriff est\u00e1 equipado para descargar y administrar m\u00faltiples componentes, incluido un m\u00f3dulo de captura de pantalla, con comandos y valores de configuraci\u00f3n recibidos como comentarios de archivo zip.<\/p>\n “El acceso de un actor de amenaza al portal de noticias m\u00e1s grande de Ucrania los posicionar\u00eda para realizar una variedad de ataques de alto impacto y operar con una ofuscaci\u00f3n mejorada”, dijo M\u00fchr. “En este incidente espec\u00edfico, el actor de amenaza puede haber abusado del dominio de confianza para organizar malware sin plantear sospechas”.<\/p>\n La puerta trasera tambi\u00e9n viene equipada con una funci\u00f3n de “suicidio” que, cuando se invoca de forma remota por el operador, cesa toda la actividad y elimina el directorio que contiene el malware y la carpeta en Dropbox utilizada para las comunicaciones de comando y control (C2).<\/p>\n IBM se\u00f1al\u00f3 que ciertos aspectos del malware se superponen con el del kazuar y la muleta de Turla, as\u00ed como Prikormka de la Operaci\u00f3n Groundbait y Cloudwizard de Bad Magic.<\/p>\n “Tanto Cloudwizard como Sheriff contienen una funci\u00f3n ‘getSettings” https:\/\/thehackernews.com\/ “get_settings’ para recuperar la configuraci\u00f3n de cada m\u00f3dulo”, dijo la compa\u00f1\u00eda. “Cloudwizard, Prikormka y Sheriff comparten las mismas capturas de pantalla tomando intervalos de 15 minutos. Los m\u00f3dulos de listado de archivos de Cloudwizard y Prikormka se llaman ‘\u00e1rbol’, que es el nombre que Sheriff usa para la exfiltraci\u00f3n de una lista de archivos”.<\/p>\n El descubrimiento de la puerta trasera sigue un informe del Servicio Estatal de Ucrania para Comunicaciones Especiales y Protecci\u00f3n de la Informaci\u00f3n (SSSCIP), advertencia de un aumento del 48% en el n\u00famero de incidentes en la segunda mitad de 2024 (2,576), en comparaci\u00f3n con el per\u00edodo anterior de seis meses (1,739).<\/p>\n En total, se registraron 4.315 incidentes cibern\u00e9ticos en 2024, frente a 1.350 en 2021, 2,194 en 2022 y 2,543 en 2023. El n\u00famero de incidentes cr\u00edticos y de alta severidad, por otro lado, cay\u00f3 significativamente a 59, a una disminuci\u00f3n de 1,048 en 2022 y 367 en 2023.<\/p>\n “Los piratas inform\u00e1ticos rusos est\u00e1n implementando activamente la automatizaci\u00f3n, empleando ataques de cadena de suministro para la infiltraci\u00f3n a trav\u00e9s de proveedores de software y combinando t\u00e9cnicas de espionaje y sabotaje”, SSSCIP dicho<\/a>. “El enfoque principal de los ataques es la colecci\u00f3n de inteligencia que podr\u00eda influir en la situaci\u00f3n operativa en el frente. En particular, el adversario est\u00e1 apuntando a sistemas de conciencia situacionales y empresas de defensa especializadas”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Darkwatchman-el-malware-del-sheriff-golpeo-a-Rusia-y-Ucrania.jpg\")
<\/a><\/center><\/div>\nUcrania atacada por el nuevo sheriff Backdoor<\/h3>\n
<\/a><\/div>\n<\/a><\/center><\/div>\n