Los investigadores de seguridad cibern\u00e9tica est\u00e1n llamando la atenci\u00f3n sobre una ola continua de ataques vinculados a un grupo de amenazas rastreado como Raspberry Robin que est\u00e1 detr\u00e1s de un malware de Windows con capacidades similares a las de un gusano. <\/p>\n
Describi\u00e9ndolo como una amenaza “persistente” y “propagadora”, Cybereason dijo<\/a> observ\u00f3 una serie de v\u00edctimas en Europa.<\/p>\n Las infecciones involucran un gusano que se propaga a trav\u00e9s de dispositivos USB extra\u00edbles que contienen un archivo .LNK malicioso y aprovecha los dispositivos de almacenamiento conectado a la red (NAS) de QNAP comprometidos para el comando y control. Fue documentado por primera vez por investigadores de Red Canary en mayo de 2022.<\/p>\n Tambi\u00e9n con nombre en c\u00f3digo Gusano QNAP<\/a> por Sekoia, el malware aprovecha un binario leg\u00edtimo del instalador de Windows llamado “msiexec.exe” para descargar y ejecutar una biblioteca compartida maliciosa (DLL) desde un dispositivo QNAP NAS comprometido.<\/p>\n “Para que sea m\u00e1s dif\u00edcil de detectar, Raspberry Robin aprovecha las inyecciones de procesos en tres procesos leg\u00edtimos del sistema de Windows”, dijo el investigador de Cybereason Lo\u00efc Castel en un art\u00edculo t\u00e9cnico, y agreg\u00f3 que “se comunica con el resto de [the] infraestructura a trav\u00e9s de los nodos de salida TOR”.<\/p>\n La persistencia en la m\u00e1quina comprometida se logra haciendo modificaciones en el Registro de Windows para cargar la carga \u00fatil maliciosa a trav\u00e9s del binario de Windows “rundll32.exe” en la fase de inicio.<\/p>\n La campa\u00f1a, que se cree que data de septiembre de 2021, sigue siendo un misterio hasta ahora, sin pistas sobre el origen del actor de amenazas o sus objetivos finales.<\/p>\n La divulgaci\u00f3n se produce cuando QNAP dijo que est\u00e1 investigando activamente una nueva ola de infecciones de ransomware Checkmate dirigidas a sus dispositivos, lo que lo convierte en el \u00faltimo de una serie de ataques despu\u00e9s de AgeLocker<\/a>eCh0raix y DeadBolt.<\/p>\n “La investigaci\u00f3n preliminar indica que los ataques de Checkmate a trav\u00e9s de servicios para pymes<\/a> expuesto a Internet, y emplea un ataque de diccionario para romper cuentas con contrase\u00f1as d\u00e9biles”, dijo la compa\u00f1\u00eda se\u00f1alado<\/a> en un aviso.<\/p>\n “Una vez que el atacante inicia sesi\u00f3n con \u00e9xito en un dispositivo, cifra los datos en las carpetas compartidas y deja una nota de rescate con el nombre de archivo “!CHECKMATE_DECRYPTION_README” en cada carpeta”.<\/p>\n Como precauci\u00f3n, la empresa taiwanesa recomienda a los clientes que no expongan los servicios SMB a Internet, mejoren la seguridad de la contrase\u00f1a, realicen copias de seguridad peri\u00f3dicas y actualicen el sistema operativo QNAP a la \u00faltima versi\u00f3n.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEh9VC-yU9_jDh5RFWus-7s-3WjCbIBxdCTFdQZDa2kmYIS6ftVaOZpHuT74b3sAju4OHO0HHTpvEKikXsqMnZpq7gQtOtNGQaF6sYqe85ABCBJ25LRSDq383lzUP11SWYO0Az9rKf81W9xUoS28tQBWbeHEafpfXkgxuEPKvl_lvBtHW5FUSWcP-sP7\/s728-e100\/lk.jpg\")
<\/div>\n![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEh4Yys5yF2BJYvVE5f6oV-weeJGtYN0HmdsYlVctNdHhCGf9VaOGz92QWUqJSg2v8djN-B_vlfNVcIOISXXePLiYIuokDufBA-VlLO_dIVsWfzfHmvmJhDzh2cVI8SwOOGACvXjgCBS5KEBOrNflMrnmWPsECDHa_gXKHznpoBkTJW1eP5ts4Rmkit6\/s728-e100\/attack.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n