Un grupo de amenazas con v\u00ednculos con un grupo de pirater\u00eda llamado Soldado tropical<\/b> ha sido detectado utilizando un malware previamente no documentado codificado en lenguaje Nim para atacar objetivos como parte de una campa\u00f1a reci\u00e9n descubierta.<\/p>\n
El nuevo cargador, denominado Nimbda, est\u00e1 “incluido con una herramienta de ‘SMS Bomber’ de software gris en idioma chino que probablemente se distribuya ilegalmente en la web de habla china”, dijo la empresa de ciberseguridad israel\u00ed Check Point. dijo<\/a> en un informe<\/p>\n “Quien haya creado el cargador Nim tuvo especial cuidado en darle el mismo \u00edcono ejecutable que el SMS Bomber que lanza y ejecuta”, dijeron los investigadores. “Por lo tanto, todo el paquete funciona como un binario troyano”.<\/p>\n SMS Bomber, como su nombre lo indica, permite que un usuario ingrese un n\u00famero de tel\u00e9fono (que no es el suyo) para inundar el dispositivo de la v\u00edctima con mensajes y potencialmente dejarlo inutilizable en lo que es un ataque de denegaci\u00f3n de servicio (DoS).<\/p>\n El hecho de que el binario se duplique como SMS Bomber y una puerta trasera sugiere que los ataques no solo est\u00e1n dirigidos a aquellos que son usuarios de la herramienta, un “objetivo bastante poco ortodoxo”, sino tambi\u00e9n de naturaleza muy espec\u00edfica.<\/p>\n Soldado tropical<\/a>tambi\u00e9n conocido por los apodos Earth Centaur, KeyBoy y Pirate Panda, tiene un historial de atacar objetivos ubicados en Taiw\u00e1n, Hong Kong y Filipinas, centr\u00e1ndose principalmente en industrias gubernamentales, de atenci\u00f3n m\u00e9dica, de transporte y de alta tecnolog\u00eda.<\/p>\n Llamando al colectivo de habla china “notablemente sofisticado y bien equipado”, Trend Micro se\u00f1al\u00f3 el a\u00f1o pasado la capacidad del grupo para hacer evolucionar sus TTP para permanecer bajo el radar y confiar en una amplia gama de herramientas personalizadas para comprometer sus objetivos.<\/p>\n La \u00faltima cadena de ataques documentada por Check Point comienza con la herramienta manipulada de SMS Bomber, el cargador Nimbda, que lanza un ejecutable incrustado, en este caso la carga \u00fatil leg\u00edtima de SMS bomber, al mismo tiempo que inyecta una pieza separada de shellcode en un proceso notepad.exe. .<\/p>\n Esto inicia un proceso de infecci\u00f3n de tres niveles que implica la descarga de un binario de siguiente etapa desde una direcci\u00f3n IP ofuscada especificada en un archivo de descuento (“EULA.md”) que est\u00e1 alojado en un repositorio de GitHub o Gitee controlado por un atacante.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/La-operacion-del-ransomware-Conti-se-cierra-despues-de-dividirse.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n