{"id":377500,"date":"2022-09-16T17:23:26","date_gmt":"2022-09-16T17:23:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-encuentran-un-enlace-entre-privateloader-y-los-servicios-de-pago-por-instalacion-de-ruzki\/"},"modified":"2022-09-16T17:23:28","modified_gmt":"2022-09-16T17:23:28","slug":"los-investigadores-encuentran-un-enlace-entre-privateloader-y-los-servicios-de-pago-por-instalacion-de-ruzki","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-encuentran-un-enlace-entre-privateloader-y-los-servicios-de-pago-por-instalacion-de-ruzki\/","title":{"rendered":"Los investigadores encuentran un enlace entre PrivateLoader y los servicios de pago por instalaci\u00f3n de Ruzki"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Los investigadores de seguridad cibern\u00e9tica han expuesto nuevas conexiones entre un servicio de malware de pago por instalaci\u00f3n (PPI) ampliamente utilizado conocido como PrivateLoader y otro servicio de PPI denominado ruzki.<\/p>\n

“El actor de amenazas ruzki (tambi\u00e9n conocido como les0k, zhigalsz) anuncia su servicio PPI en foros clandestinos de habla rusa y sus canales de Telegram bajo el nombre ruzki o zhigalsz desde al menos mayo de 2021”. SEKOIA<\/a> dijo.<\/p>\n

La firma de ciberseguridad dijo que sus investigaciones sobre los servicios gemelos la llevaron a concluir que PrivateLoader es el cargador patentado del servicio de malware ruzki PPI.<\/p>\n

PrivateLoader, como su nombre lo indica, funciona como un cargador basado en C++ para descargar e implementar cargas maliciosas adicionales en hosts de Windows infectados. Se distribuye principalmente a trav\u00e9s de sitios web optimizados para SEO que afirman proporcionar software descifrado.<\/p>\n

Aunque Intel471 lo document\u00f3 por primera vez a principios de febrero, se dice que se puso en uso a partir de mayo de 2021.<\/p>\n

\"La<\/a><\/div>\n

Algunas de las familias de malware de productos b\u00e1sicos m\u00e1s comunes que se propagan a trav\u00e9s de PrivateLoader incluyen Redline Stealer, Socelares<\/a>Ladr\u00f3n de mapaches, Vidar, Tofsee<\/a>Amadey, DanaBot y ransomware cepas Djvu y STOP.<\/p>\n

Un an\u00e1lisis de mayo de 2022 de Trend Micro descubri\u00f3 el malware que distribuye un marco llamado NetDooka. Un informe de seguimiento de BitSight a fines del mes pasado fundar<\/a> infecciones significativas en India y Brasil a partir de julio de 2022.<\/p>\n

Un nuevo cambio detectado por SEKOIA es el uso del servicio de documentos VK.com para alojar las cargas maliciosas en lugar de Discord, un cambio probablemente motivado por una mayor supervisi\u00f3n de la red de entrega de contenido de la plataforma.<\/p>\n

\"Servicios<\/div>\n

PrivateLoader tambi\u00e9n est\u00e1 configurado para comunicarse con servidores de comando y control (C2) para obtener y filtrar datos. A mediados de septiembre, hay cuatro servidores C2 activos, dos en Rusia y uno en Chequia y Alemania.<\/p>\n

“Con base en la amplia selecci\u00f3n de familias de malware, lo que implica una amplia gama de actores de amenazas o conjuntos de intrusos que operan este malware, el servicio PPI que ejecuta PrivateLoader es muy atractivo y popular para los atacantes en los mercados clandestinos”, dijeron los investigadores.<\/p>\n

SEKOIA dijo adem\u00e1s que descubri\u00f3 v\u00ednculos entre PrivateLoader y ruzki, un actor de amenazas que vende paquetes de 1000 instalaciones en sistemas infectados ubicados en todo el mundo ($70), o espec\u00edficamente en Europa ($300) o EE. UU. ($1000).<\/p>\n

Estos anuncios, que se han colocado en el foro de ciberdelincuencia de Lolz Guru, se dirigen a los actores de amenazas (tambi\u00e9n conocidos como clientes potenciales) que desean distribuir sus cargas \u00fatiles a trav\u00e9s del servicio PPI.<\/p>\n

\"La<\/a><\/div>\n

La asociaci\u00f3n se deriva principalmente de las siguientes observaciones:<\/p>\n