El actor de amenazas Keksec se ha relacionado con una cepa de malware previamente no documentada, que se ha observado en la naturaleza disfrazada como una extensi\u00f3n para los navegadores web basados \u200b\u200ben Chromium para esclavizar las m\u00e1quinas comprometidas en una red de bots.<\/p>\n
Llam\u00f3 nube9<\/strong> por la firma de seguridad Zimperium, el complemento de navegador malicioso viene con una amplia gama de caracter\u00edsticas que le permiten desviar cookies, registrar pulsaciones de teclas, inyectar c\u00f3digo JavaScript arbitrario, extraer criptograf\u00eda e incluso reclutar al host para llevar a cabo ataques DDoS.<\/p>\n La extensi\u00f3n “no solo roba la informaci\u00f3n disponible durante la sesi\u00f3n del navegador, sino que tambi\u00e9n puede instalar malware en el dispositivo de un usuario y, posteriormente, asumir el control de todo el dispositivo”, dijo Nipun Gupta, investigador de Zimperium. dijo<\/a> en un nuevo informe.<\/p>\n La botnet de JavaScript no se distribuye a trav\u00e9s de Chrome Web Store o complementos de Microsoft Edge, sino a trav\u00e9s de ejecutables falsos y sitios web maliciosos disfrazados de actualizaciones de Adobe Flash Player.<\/p>\n Una vez instalada, la extensi\u00f3n est\u00e1 dise\u00f1ada para inyectar un archivo JavaScript llamado “campaign.js” en todas las p\u00e1ginas, lo que significa que el malware tambi\u00e9n podr\u00eda funcionar como una pieza de c\u00f3digo independiente en cualquier sitio web, leg\u00edtimo o no, lo que podr\u00eda generar ataques de pozo de agua.<\/p>\n El c\u00f3digo JavaScript se responsabiliza de las operaciones de cryptojacking, abusando de los recursos inform\u00e1ticos de la v\u00edctima para minar criptodivisas de forma il\u00edcita, adem\u00e1s de inyectar un segundo script llamado “cthulhu.js”.<\/p>\n Esta cadena de ataque, a su vez, aprovecha fallas en navegadores web como Mozilla Firefox (CVE-2019-11708<\/a>, CVE-2019-9810<\/a>), Explorador de Internet (CVE-2014-6332<\/a>, CVE-2016-0189<\/a>) y Borde (CVE-2016-7200<\/a>) para escapar del espacio aislado del navegador e implementar malware en el sistema.<\/p>\n La secuencia de comandos act\u00faa adem\u00e1s como un registrador de teclas y un conducto para ejecutar comandos adicionales recibidos de un servidor remoto, lo que le permite robar datos del portapapeles, cookies del navegador y ejecutar ataques DDoS de capa 7<\/a> contra cualquier dominio.<\/p>\n Zimperium atribuy\u00f3 el malware a un actor de amenazas rastreado como Keksec (tambi\u00e9n conocido como Kek Security, Necro y FreakOut), que tiene un historial de desarrollo de una amplia gama de malware de botnet, incluido EnemyBot, para criptominer\u00eda y operaciones DDoS.<\/p>\n La conexi\u00f3n con Keksec proviene de superposiciones en los dominios que se identificaron previamente como utilizados por el grupo de malware.<\/p>\n
![](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/El-servicio-de-phishing-de-Robin-Banks-para-ciberdelincuentes-regresa.gif\")
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/div>\n