El actor de amenazas conocido como SideWinder agreg\u00f3 una nueva herramienta personalizada a su arsenal de malware que se utiliza en ataques de phishing contra entidades del sector p\u00fablico y privado de Pakist\u00e1n.<\/p>\n
“Los enlaces de phishing en correos electr\u00f3nicos o publicaciones que imitan las notificaciones y los servicios leg\u00edtimos de las agencias y organizaciones gubernamentales en Pakist\u00e1n son los principales vectores de ataque de la pandilla”, Group-IB, empresa de seguridad cibern\u00e9tica con sede en Singapur. dijo<\/a> en un informe del mi\u00e9rcoles.<\/p>\n SideWinder, tambi\u00e9n rastreado bajo los nombres de Hardcore Nationalist, Rattlesnake, Razor Tiger y T-APT-04, ha estado activo desde al menos 2012 con un enfoque principal en Pakist\u00e1n y otros pa\u00edses de Asia Central como Afganist\u00e1n, Bangladesh, Nepal, Singapur y Sri Lanka.<\/p>\n El mes pasado, Kaspersky atribuy\u00f3 a este grupo m\u00e1s de 1000 ataques cibern\u00e9ticos que tuvieron lugar en los \u00faltimos dos a\u00f1os, al tiempo que llam\u00f3 la atenci\u00f3n sobre su persistencia y sus sofisticadas t\u00e9cnicas de ofuscaci\u00f3n.<\/p>\n El modus operandi del actor de amenazas implica el uso de correos electr\u00f3nicos de phishing para distribuir archivos ZIP maliciosos que contienen archivos RTF o LNK, que descargan una carga \u00fatil de aplicaci\u00f3n HTML (HTA) desde un servidor remoto.<\/p>\n Esto se logra incorporando enlaces fraudulentos que est\u00e1n dise\u00f1ados para imitar notificaciones y servicios leg\u00edtimos de agencias y organizaciones gubernamentales en Pakist\u00e1n, y el grupo tambi\u00e9n crea sitios web similares que se hacen pasar por portales gubernamentales para recopilar credenciales de usuario.<\/p>\n La herramienta personalizada identificada por Group-IB, denominada SideWinder.AntiBot.Script<\/b>act\u00faa como un sistema de direcci\u00f3n del tr\u00e1fico que desv\u00eda a los usuarios paquistan\u00edes que hacen clic en los enlaces de phishing a dominios no autorizados.<\/p>\n Si un usuario, cuya direcci\u00f3n IP del cliente es diferente a la de Pakist\u00e1n, hace clic en el enlace, el script de AntiBot lo redirige a un documento aut\u00e9ntico ubicado en un servidor leg\u00edtimo, lo que indica un intento de geovalla de sus objetivos.<\/p>\n “La secuencia de comandos verifica el entorno del navegador del cliente y, en funci\u00f3n de varios par\u00e1metros, decide si emite un archivo malicioso o lo redirige a un recurso leg\u00edtimo”, dijeron los investigadores.<\/p>\n De menci\u00f3n especial es un enlace de phishing que descarga una aplicaci\u00f3n VPN llamada Secure VPN (“com.securedata.vpn”) de la tienda oficial de Google Play en un intento de hacerse pasar por la aplicaci\u00f3n leg\u00edtima de Secure VPN (“com.securevpn.securevpn”).<\/p>\n Si bien el prop\u00f3sito exacto de la aplicaci\u00f3n VPN falsa sigue sin estar claro, esta no es la primera vez que SideWinder se escapa de las protecciones de Google Play Store para publicar aplicaciones no autorizadas con el pretexto de un software de utilidad.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Microsoft-advierte-sobre-los-skimmers-web-que-imitan-Google-Analytics.png\")
<\/a><\/div>\n![\"Aplicaciones](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1654310759_671_Los-piratas-informaticos-de-SideWinder-utilizan-aplicaciones-VPN-de-Android.jpg\" "\\"Aplicaciones")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n![\"Aplicaciones](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1654310759_672_Los-piratas-informaticos-de-SideWinder-utilizan-aplicaciones-VPN-de-Android.jpg\" "\\"Aplicaciones")
<\/div>\n