Los actores de amenazas detr\u00e1s de Black Basta familia de ransomware<\/a> Se ha observado el uso del troyano Qakbot para implementar el marco Brute Ratel C4 como una carga \u00fatil de segunda etapa en ataques recientes.<\/p>\n El desarrollo marca la primera vez que el incipiente software de simulaci\u00f3n de adversarios se entrega a trav\u00e9s de una infecci\u00f3n de Qakbot, la firma de ciberseguridad Trend Micro dijo<\/a> en un an\u00e1lisis t\u00e9cnico publicado la semana pasada.<\/p>\n La intrusi\u00f3n, lograda mediante un correo electr\u00f3nico de phishing que conten\u00eda un enlace armado que apuntaba a un archivo ZIP, implic\u00f3 adem\u00e1s el uso de Cobalt Strike para el movimiento lateral.<\/p>\n Si bien estas utilidades leg\u00edtimas est\u00e1n dise\u00f1adas para realizar actividades de pruebas de penetraci\u00f3n, su capacidad para ofrecer acceso remoto las ha convertido en una herramienta lucrativa en manos de atacantes que buscan sondear sigilosamente el entorno comprometido sin llamar la atenci\u00f3n durante largos per\u00edodos de tiempo.<\/p>\n Esto se ha visto agravado por el hecho de que un versi\u00f3n agrietada<\/a> of Brute Ratel C4 comenz\u00f3 a circular el mes pasado entre los delincuentes cibern\u00e9ticos clandestinos, lo que llev\u00f3 a su desarrollador a actualizar el algoritmo de licencias<\/a> para que sea m\u00e1s dif\u00edcil de romper.<\/p>\n Qakbot, tambi\u00e9n llamado QBot y QuackBot, es un ladr\u00f3n de informaci\u00f3n y un troyano bancario que se sabe que est\u00e1 activo desde 2007. Pero su dise\u00f1o modular y su capacidad para actuar como descargador lo han convertido en un candidato atractivo para colocar malware adicional.<\/p>\n Seg\u00fan Trend Micro, el archivo ZIP en el correo electr\u00f3nico contiene un archivo ISO que, a su vez, incluye un archivo LNK que obtiene la carga \u00fatil de Qakbot, lo que ilustra los intentos por parte de los actores de amenazas de adaptarse a otras t\u00e1cticas<\/a> a ra\u00edz de la decisi\u00f3n de Microsoft de bloquear las macros de forma predeterminada para los documentos descargados de la web.<\/p>\n La infecci\u00f3n de Qakbot es reemplazada por la recuperaci\u00f3n de Brute Ratel y Cobalt Strike, pero no antes de realizar un reconocimiento automatizado a trav\u00e9s de herramientas de l\u00ednea de comandos integradas como arp, ipconfig, nslookup, netstat y whoami.<\/p>\n Sin embargo, el ataque se detuvo antes de que el actor de amenazas pudiera tomar cualquier acci\u00f3n maliciosa, aunque se sospecha que el objetivo final puede haber sido la implementaci\u00f3n de ransomware en todo el dominio.<\/p>\n En otra cadena de ejecuci\u00f3n de Qakbot detectada por la empresa de ciberseguridad, el archivo ZIP se entrega a trav\u00e9s de un m\u00e9todo cada vez m\u00e1s popular llamado contrabando de HTML, lo que resulta en la ejecuci\u00f3n de Brute Ratel C4 como segunda etapa.<\/p>\n “La cadena de eliminaci\u00f3n de Qakbot a Brute Ratel a Cobalt Strike est\u00e1 asociada con el grupo detr\u00e1s del Black Basta Ransomware”, dijeron los investigadores. “Esto se basa en la superposici\u00f3n de TTP e infraestructura observada en los ataques de Black Basta”.<\/p>\n Los hallazgos coinciden con un resurgimiento de los ataques de Qakbot en los \u00faltimos meses por medio de una variedad de t\u00e9cnicas como Archivos adjuntos HTML<\/a>, Carga lateral de DLL<\/a>y secuestro de hilos de correo electr\u00f3nico<\/a>el \u00faltimo de los cuales implic\u00f3 recolectar correos electr\u00f3nicos en masa de ataques exitosos de ProxyLogon dirigidos a servidores de Microsoft Exchange.<\/p>\n Qakbot est\u00e1 lejos de ser el \u00fanico malware de acceso como servicio que se distribuye cada vez m\u00e1s a trav\u00e9s de ISO y otros formatos de archivo para sortear las restricciones de macros, ya que las campa\u00f1as de Emotet, IcedID y Bumblebee han seguido trayectorias similares.<\/p>\n Unidad 42 de Palo Alto Networks, a fines de septiembre de 2022, dijo<\/a> descubri\u00f3 un archivo malicioso pol\u00edglota Microsoft Compiled HTML Help (CHM) que se usaba para entregar el malware IcedID (tambi\u00e9n conocido como BokBot).<\/p>\n Otros m\u00e9todos de entrega y v\u00edas de infecci\u00f3n importantes han implicado el uso de archivos ZIP protegidos con contrase\u00f1a que contienen un archivo ISO, que refleja el de Qakbot, con la carga \u00fatil propagada a trav\u00e9s de un servicio de pago por instalador conocido como PrivateLoader, seg\u00fan Equipo Cymru<\/a>.<\/p>\n Y, para colmo, Emotete<\/a> parece estar prepar\u00e1ndose para un nuevo conjunto de ataques despu\u00e9s de una breve pausa de tres meses para reelaborar su m\u00f3dulo “systeminfo” para “mejorar la orientaci\u00f3n de v\u00edctimas espec\u00edficas y distinguir los bots de seguimiento de los usuarios reales”, ESET revelado<\/a> en una serie de tuits.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665010874_885_Los-piratas-informaticos-aprovechan-la-vulnerabilidad-del-controlador-de-Dell.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1666012277_759_Black-Basta-Ransomware-Hackers-se-infiltra-en-las-redes-a.jpg\")
<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1666012277_3_Black-Basta-Ransomware-Hackers-se-infiltra-en-las-redes-a.jpg\")
<\/div>\nLos actores de IcedID diversifican los m\u00e9todos de entrega<\/h3>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/div>\n