Los investigadores han expuesto una nueva campa\u00f1a de correo electr\u00f3nico dirigida a entidades francesas en los sectores de la construcci\u00f3n, bienes ra\u00edces y gobierno que aprovecha el administrador de paquetes Chocolatey Windows para ofrecer una puerta trasera llamada Serpiente<\/strong> en sistemas comprometidos.<\/p>\n La empresa de seguridad empresarial Proofpoint atribuy\u00f3 los ataques a un probable actor de amenazas avanzado en funci\u00f3n de las t\u00e1cticas y los patrones de victimolog\u00eda observados. El objetivo final de la campa\u00f1a sigue siendo actualmente desconocido.<\/p>\n “El actor de amenazas intent\u00f3 instalar una puerta trasera en el dispositivo de una posible v\u00edctima, lo que podr\u00eda permitir la administraci\u00f3n remota, el comando y control (C2), el robo de datos o entregar otras cargas \u00fatiles adicionales”, investigadores de Proofpoint. dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n El se\u00f1uelo de phishing que desencadena la secuencia de infecci\u00f3n utiliza una l\u00ednea de asunto con el tema de un curr\u00edculum, con el documento adjunto de Microsoft Word incrustado en una macro que se hace pasar por informaci\u00f3n relacionada con el Reglamento General de Protecci\u00f3n de Datos (RGPD) de la Uni\u00f3n Europea.<\/p>\n Habilitar las macros da como resultado su ejecuci\u00f3n, que recupera un archivo de imagen aparentemente inofensivo alojado en un servidor remoto pero que en realidad contiene un script de PowerShell codificado en Base64 que se oscurece mediante esteganograf\u00eda, un m\u00e9todo poco utilizado para ocultar c\u00f3digo malicioso dentro de una imagen o audio con el fin de para eludir la detecci\u00f3n.<\/p>\n El script de PowerShell, a su vez, est\u00e1 dise\u00f1ado para instalar el Utilidad achocolatada<\/a> en la m\u00e1quina con Windows, que luego se utiliza para instalar el instalador del paquete de Python pepita<\/a>el \u00faltimo de los cuales act\u00faa como conducto para instalar el PySocks<\/a> biblioteca proxy.<\/p>\n El mismo script de PowerShell tambi\u00e9n recupera otro archivo de imagen del mismo servidor remoto que incluye la puerta trasera Python camuflada denominada Serpent, que viene con capacidades para ejecutar comandos transmitidos desde el servidor C2.<\/p>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/Los-piratas-informaticos-comienzan-a-armar-la-reflexion-de-la.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647882188_579_Nuevo-backdoor-apunta-a-entidades-francesas-a-traves-de-un.jpeg\")
<\/div>\n