{"id":431860,"date":"2022-10-19T13:54:14","date_gmt":"2022-10-19T13:54:14","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-apuntan-a-los-casinos-en-linea-con-el-malware-gameplayerframework\/"},"modified":"2022-10-19T13:54:16","modified_gmt":"2022-10-19T13:54:16","slug":"los-piratas-informaticos-chinos-apuntan-a-los-casinos-en-linea-con-el-malware-gameplayerframework","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-apuntan-a-los-casinos-en-linea-con-el-malware-gameplayerframework\/","title":{"rendered":"Los piratas inform\u00e1ticos chinos apuntan a los casinos en l\u00ednea con el malware GamePlayerFramework"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un grupo de amenazas persistentes avanzadas (APT) de origen chino con nombre en c\u00f3digo DiceyF<\/strong> se ha relacionado con una serie de ataques dirigidos a los casinos en l\u00ednea en el sudeste asi\u00e1tico durante a\u00f1os.<\/p>\n

La empresa rusa de ciberseguridad Kaspersky dijo que la actividad se alinea con otro conjunto de intrusiones atribuidas a Earth Berberoka (tambi\u00e9n conocido como GamblingPuppet) y DRBControl, citando similitudes t\u00e1cticas y de orientaci\u00f3n, as\u00ed como el abuso de clientes de mensajer\u00eda segura.<\/p>\n

\"La<\/a><\/div>\n

“Posiblemente tenemos una mezcla de espionaje y [intellectual property] robo, pero las verdaderas motivaciones siguen siendo un misterio”, los investigadores Kurt Baumgartner y Georgy Kucherin dijo<\/a> en un art\u00edculo t\u00e9cnico publicado esta semana.<\/p>\n

El punto de partida de la investigaci\u00f3n fue en noviembre de 2021 cuando Kaspersky dijo que detect\u00f3 m\u00faltiples cargadores PlugX y otras cargas \u00fatiles que se implementaron a trav\u00e9s de un servicio de monitoreo de empleados y un servicio de implementaci\u00f3n de paquetes de seguridad.<\/p>\n

\"Software<\/div>\n

El m\u00e9todo de infecci\u00f3n inicial, la distribuci\u00f3n del marco a trav\u00e9s de paquetes de soluciones de seguridad, le permiti\u00f3 al actor de amenazas “realizar actividades de ciberespionaje con cierto nivel de sigilo”, afirm\u00f3 la compa\u00f1\u00eda.<\/p>\n

Posteriormente, se dice que se emple\u00f3 el mismo servicio de implementaci\u00f3n de paquetes de seguridad para entregar lo que se llama GamePlayerFramework, una variante C# de un malware basado en C++ conocido como PuppetLoader.<\/p>\n

“Este ‘marco’ incluye descargadores, lanzadores y un conjunto de complementos que brindan acceso remoto y roban pulsaciones de teclas y datos del portapapeles”, explicaron los investigadores.<\/p>\n

\"Software<\/div>\n

Las indicaciones son que la actividad de DiceyF es una campa\u00f1a de seguimiento a Earth Berberoka con un conjunto de herramientas de malware redise\u00f1ado, incluso cuando el marco se mantiene a trav\u00e9s de dos ramas separadas denominadas Tifa y Yuna, que vienen con diferentes m\u00f3dulos de diferentes niveles de sofisticaci\u00f3n.<\/p>\n

Mientras que la rama de Tifa contiene un descargador y un componente principal, Yuna es m\u00e1s compleja en t\u00e9rminos de funcionalidad e incorpora un descargador, un conjunto de complementos y al menos 12 m\u00f3dulos PuppetLoader. Dicho esto, se cree que ambas ramas se actualizan de forma activa e incremental.<\/p>\n

Independientemente de la variante empleada, GamePlayerFramework, una vez lanzado, se conecta a un comando y control (C2) y transmite informaci\u00f3n sobre el host comprometido y el contenido del portapapeles, luego de lo cual el C2 responde con uno de los 15 comandos que permiten que el malware tomar el control de la m\u00e1quina.<\/p>\n

\"La<\/a><\/div>\n

Esto tambi\u00e9n incluye el lanzamiento de un complemento en el sistema de la v\u00edctima que puede descargarse del servidor C2 cuando se crea una instancia del marco o recuperarse mediante el comando “InstallPlugin” enviado por el servidor.<\/p>\n

Estos complementos, a su vez, permiten robar cookies de los navegadores Google Chrome y Mozilla Firefox, capturar pulsaciones de teclas y datos del portapapeles, configurar sesiones de escritorio virtual e incluso conectarse de forma remota a la m\u00e1quina a trav\u00e9s de SSH.<\/p>\n

Kaspersky tambi\u00e9n se\u00f1al\u00f3 el uso de una aplicaci\u00f3n maliciosa que imita otro software llamado Mango Employee Account Data Synchronizer, una aplicaci\u00f3n de mensajer\u00eda utilizada en las entidades objetivo, para colocar GamePlayerFramework dentro de la red.<\/p>\n

“Hay muchas caracter\u00edsticas interesantes de las campa\u00f1as y TTP de DiceyF”, dijeron los investigadores. “El grupo modifica su base de c\u00f3digo con el tiempo y desarrolla funcionalidades en el c\u00f3digo a lo largo de sus intrusiones”.<\/p>\n

“Para asegurarse de que las v\u00edctimas no sospecharan de los implantes disfrazados, los atacantes obtuvieron informaci\u00f3n sobre las organizaciones objetivo (como el piso donde se encuentra el departamento de TI de la organizaci\u00f3n) y la incluyeron dentro de las ventanas gr\u00e1ficas que se muestran a las v\u00edctimas”.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Un grupo de amenazas persistentes avanzadas (APT) de origen chino con nombre en c\u00f3digo DiceyF se ha relacionado<\/p>\n","protected":false},"author":1,"featured_media":431861,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,7848,4661,66408,4289,4664,99,4662,118256,6214,4668,4667,6550,36,4669,4654,4658,4659,4653,4655,6213,4663,4666,4665,4660],"class_list":["post-431860","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apuntan","tag-ataques-ciberneticos","tag-casinos","tag-chinos","tag-como-hackear","tag-con","tag-filtracion-de-datos","tag-gameplayerframework","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-linea","tag-los","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-piratas","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/431860","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=431860"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/431860\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/431861"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=431860"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=431860"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=431860"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}