Se ha encontrado una amenaza con un nexo de Corea del Norte que aprovecha una “metodolog\u00eda novedosa de phishing de lanza” que implica el uso de versiones troyanizadas del cliente PuTTY SSH y Telnet.<\/p>\n
La firma de inteligencia de amenazas propiedad de Google, Mandiant, atribuy\u00f3 la nueva campa\u00f1a a un grupo de amenazas emergentes que rastrea bajo el nombre UNC4034<\/strong>.<\/p>\n “UNC4034 estableci\u00f3 comunicaci\u00f3n con la v\u00edctima a trav\u00e9s de WhatsApp y la atrajo para que descargara un paquete ISO malicioso con respecto a una oferta de trabajo falsa que condujo a la implementaci\u00f3n de la puerta trasera AIRDRY.V2 a trav\u00e9s de una instancia troyana de la utilidad PuTTY”, investigadores de Mandiant. dijo<\/a>.<\/p>\n El uso de se\u00f1uelos laborales fabricados como v\u00eda para la distribuci\u00f3n de malware es una t\u00e1ctica utilizada con frecuencia por actores patrocinados por el estado de Corea del Norte, incluido el Grupo Lazarus, como parte de una campa\u00f1a duradera llamada Operation Dream Job.<\/p>\n El punto de entrada del ataque es un archivo ISO que se hace pasar por una evaluaci\u00f3n de Amazon como parte de una posible oportunidad laboral en el gigante tecnol\u00f3gico. El archivo se comparti\u00f3 a trav\u00e9s de WhatApp despu\u00e9s de establecer el contacto inicial por correo electr\u00f3nico.<\/p>\n El archivo, por su parte, contiene un archivo de texto que contiene una direcci\u00f3n IP y credenciales de inicio de sesi\u00f3n, y una versi\u00f3n alterada de PuTTY que, a su vez, carga un cuentagotas llamado DAVESHELL, que implementa una variante m\u00e1s nueva de una puerta trasera denominada AIRDRY.<\/p>\n Es probable que el actor de amenazas haya convencido a la v\u00edctima para que inicie una sesi\u00f3n de PuTTY y use las credenciales provistas en el archivo TXT para conectarse al host remoto, activando efectivamente la infecci\u00f3n.<\/p>\n AIRDRY, tambi\u00e9n conocido como BLINDINGCAN, ha sido utilizado en el pasado por piratas inform\u00e1ticos vinculados a Corea del Norte para atacar a contratistas y entidades de defensa estadounidenses en Corea del Sur y Letonia.<\/p>\n Si bien las versiones anteriores del malware ven\u00edan con casi 30 comandos para la transferencia de archivos, la administraci\u00f3n de archivos y la ejecuci\u00f3n de comandos, se descubri\u00f3 que la \u00faltima versi\u00f3n evita el enfoque basado en comandos a favor de los complementos que se descargan y ejecutan en la memoria.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Hackers](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663339572_679_Hackers-de-Corea-del-Norte-difunden-versiones-troyanizadas-de-la.jpg\" "\\"Hackers")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n