El actor de amenaza vinculado a Rusia conocido como Fr\u00eda <\/b>se ha observado distribuyendo un nuevo malware llamado Kil\u00f3metros perdidos <\/b>Como parte de una campa\u00f1a centrada en el espionaje utilizando se\u00f1uelos de ingenier\u00eda social similar a ClickFix.<\/p>\n
“Lostkeys es capaz de robar archivos de una lista de extensiones y directorios codificados, junto con el env\u00edo de informaci\u00f3n del sistema y procesos de ejecuci\u00f3n al atacante”, el Grupo de Inteligencia de Amenazos de Google (GTIG) dicho<\/a>.<\/p>\n El malware, dijo la compa\u00f1\u00eda, se observ\u00f3 en enero, marzo y abril de 2025 en ataques contra asesores actuales y anteriores a gobiernos y militares occidentales, as\u00ed como periodistas, think tanks y ONG. Adem\u00e1s, las personas conectadas a Ucrania tambi\u00e9n han sido se\u00f1aladas.<\/p>\n LostKeys es el segundo malware personalizado atribuido a ColdRiver despu\u00e9s de Spica, marcando una desviaci\u00f3n continua de las campa\u00f1as de phishing de credenciales por las que el actor de amenaza ha sido conocido. El grupo de pirater\u00eda tambi\u00e9n se rastrea bajo los nombres Callisto, Star Blizzard y UNC4057.<\/p>\n “Son conocidos por robar credenciales y despu\u00e9s de obtener acceso a la cuenta de un objetivo, exfiltran los correos electr\u00f3nicos y roban listas de contactos de la cuenta comprometida”, dijo el investigador de seguridad Wesley Shields. “En casos seleccionados, ColdRiver tambi\u00e9n entrega malware a dispositivos de destino y puede intentar acceder a archivos en el sistema”.<\/p>\n El \u00faltimo conjunto de ataques comienza con un sitio web de se\u00f1uelo que contiene un aviso de verificaci\u00f3n Captcha falso, donde se instruye a las v\u00edctimas para abrir el di\u00e1logo de Windows Run y \u200b\u200bpegar un comando PowerShell copiado en el portapapeles, una t\u00e9cnica de ingenier\u00eda social ampliamente popular llamada ClickFix.<\/p>\n El comando PowerShell est\u00e1 dise\u00f1ado para descargar y ejecutar la siguiente carga \u00fatil desde un servidor remoto (“165.227.148[.]68 “), que act\u00faa como descargador para una tercera etapa pero no antes de realizar verificaciones en un probable esfuerzo para evadir la ejecuci\u00f3n en m\u00e1quinas virtuales.<\/p>\n Una blob codificada por Base64, la carga \u00fatil de la tercera etapa se decodifica en un script de PowerShell que es responsable de ejecutar Keys LostKeys en el host comprometido, lo que permite al actor de amenaza cosechar informaci\u00f3n del sistema, ejecutar procesos y archivos de una lista de extensiones y directorios codificados.<\/p>\n Al igual que en el caso de Spica, se ha evaluado que el malware solo se implementa selectivamente, indicativo de la naturaleza altamente dirigida de estos ataques.<\/p>\n Google tambi\u00e9n dijo que descubri\u00f3 artefactos adicionales de LostKeys que se remontan a diciembre de 2023 que se disfrazaban de binarios relacionados con la plataforma de investigaci\u00f3n de c\u00f3digo abierto de Maltego. No se sabe si estas muestras tienen alg\u00fan v\u00ednculo con ColdRiver, o si el malware fue reutilizado por los actores de amenaza a partir de enero de 2025.<\/p>\n El desarrollo se produce cuando ClickFix contin\u00faa siendo adoptado constantemente por m\u00faltiples actores de amenazas para distribuir una amplia gama de familias de malware, incluido un troyano bancario llamado Lampion y Atomic Stealer.<\/p>\n Los ataques de propagaci\u00f3n de Lampion, por unidad de Palo Alto Networks 42, usan correos electr\u00f3nicos de phishing con archivos adjuntos de archivos postales como se\u00f1uelos. Presente dentro del archivo ZIP hay un archivo HTML que redirige al destinatario del mensaje a una p\u00e1gina de destino falsa con instrucciones de clickFix para iniciar el proceso de infecci\u00f3n de varias etapas.<\/p>\n “Otro aspecto interesante de la cadena de infecci\u00f3n de Lampion es que se divide en varias etapas no consecutivas, ejecutadas como procesos separados”, la Unidad 42 dicho<\/a>. “Esta ejecuci\u00f3n dispersa complica la detecci\u00f3n, ya que el flujo de ataque no forma un \u00e1rbol de proceso f\u00e1cilmente identificable. En cambio, comprende una cadena compleja de eventos individuales, algunos de los cuales podr\u00edan parecer benignos de forma aislada”.<\/p>\n La campa\u00f1a maliciosa se dirigi\u00f3 a individuos y organizaciones de habla portuguesa en varios sectores, incluidos el gobierno, las finanzas y el transporte, agreg\u00f3 la compa\u00f1\u00eda.<\/p>\n En los \u00faltimos meses, la estrategia ClickFix tambi\u00e9n se ha combinado con otra t\u00e1ctica furtiva llamada Etherhiding, que implica el uso de contratos de cadena inteligente (BSC) de Binance para ocultar la carga \u00fatil de la pr\u00f3xima etapa, lo que finalmente conduce a la entrega de un robador de informaci\u00f3n de MacOS llamado Atomic Stealer.<\/p>\n “Haga clic en ‘No soy un robot’ desencadena un contrato inteligente de binance, utilizando una t\u00e9cnica de ethiding, para entregar un comando codificado Base64 al portapapeles, que los usuarios deben ejecutar en terminal a trav\u00e9s de accesos accesorios espec\u00edficos dicho<\/a>. “Este comando descarga un script que recupera y ejecuta un binario Mach-O firmado, confirmado como Atomic Stealer”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Los-piratas-informaticos-rusos-que-usan-ClickFix-Fake-Captcha-para.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\nLa adopci\u00f3n de ClickFix contin\u00faa creciendo<\/h3>\n
<\/a><\/div>\n<\/a><\/center><\/div>\n