los Equipo Donot<\/b> actor de amenazas ha actualizado su Jaca<\/b> Kit de herramientas de malware de Windows con capacidades mejoradas, incluido un m\u00f3dulo de robo renovado dise\u00f1ado para saquear informaci\u00f3n de los navegadores Google Chrome y Mozilla Firefox.<\/p>\n
Las mejoras tambi\u00e9n incluyen una nueva cadena de infecci\u00f3n que incorpora componentes previamente no documentados al marco modular, investigadores de Morphisec Hido Cohen y Arnold Osipov. revelado<\/a> en un informe publicado la semana pasada.<\/p>\n Tambi\u00e9n conocido como APT-C-35 y Viceroy Tiger, el Donot Team es conocido por fijar su mirada en entidades de defensa, diplom\u00e1ticas, gubernamentales y militares en India, Pakist\u00e1n, Sri Lanka y Bangladesh, entre otros, al menos desde 2016.<\/p>\n Las pruebas descubiertas por Amnist\u00eda Internacional en octubre de 2021 conectaron la infraestructura de ataque del grupo con una empresa india de ciberseguridad llamada Innefu Labs.<\/p>\n Las campa\u00f1as de phishing selectivo que contienen documentos maliciosos de Microsoft Office son la v\u00eda de entrega preferida para el malware, seguidas por el aprovechamiento de macros y otras vulnerabilidades conocidas en el software de productividad para lanzar la puerta trasera.<\/p>\n Los \u00faltimos hallazgos de Morphisec se basan en un informe anterior de la empresa de ciberseguridad ESET, que detalla las intrusiones del adversario contra organizaciones militares con sede en el sur de Asia utilizando varias versiones de su marco de malware yty, una de las cuales es Jaca.<\/p>\n Esto implica el uso de documentos RTF que enga\u00f1an a los usuarios para que habiliten macros, lo que da como resultado la ejecuci\u00f3n de un c\u00f3digo de shell inyectado en la memoria que, a su vez, est\u00e1 orquestado para descargar un c\u00f3digo de shell de segunda etapa desde su comando y control (C2). servidor.<\/p>\n Luego, la segunda etapa act\u00faa como un canal para recuperar un archivo DLL (“pgixedfxglmjirdc.dll” de otro servidor remoto, que inicia la infecci\u00f3n real al enviar informaci\u00f3n del sistema al servidor C2, establecer la persistencia a trav\u00e9s de una Tarea programada y obtener la DLL de siguiente etapa (“WavemsMp.dll”). <\/p>\n \u201cEl objetivo principal de esta etapa es descargar y ejecutar los m\u00f3dulos utilizados para robar la informaci\u00f3n del usuario\u201d, se\u00f1alaron los investigadores. “Para comprender qu\u00e9 m\u00f3dulos se utilizan en la infecci\u00f3n actual, el malware se comunica con otro servidor C2”.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"No](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660930030_485_DoNot-Team-Hackers-actualizo-su-kit-de-herramientas-de-malware.jpg\" "\\"No")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/Los-ciberdelincuentes-desarrollan-el-malware-BugDrop-para-eludir-las-funciones.png\")
<\/a><\/div>\n