{"id":474668,"date":"2022-11-14T07:52:16","date_gmt":"2022-11-14T07:52:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-worok-abusan-de-la-api-de-dropbox-para-filtrar-datos-a-traves-de-una-puerta-trasera-oculta-en-las-imagenes\/"},"modified":"2022-11-14T07:52:17","modified_gmt":"2022-11-14T07:52:17","slug":"los-piratas-informaticos-de-worok-abusan-de-la-api-de-dropbox-para-filtrar-datos-a-traves-de-una-puerta-trasera-oculta-en-las-imagenes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-worok-abusan-de-la-api-de-dropbox-para-filtrar-datos-a-traves-de-una-puerta-trasera-oculta-en-las-imagenes\/","title":{"rendered":"Los piratas inform\u00e1ticos de Worok abusan de la API de Dropbox para filtrar datos a trav\u00e9s de una puerta trasera oculta en las im\u00e1genes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un grupo de espionaje cibern\u00e9tico descubierto recientemente denominado <strong>trabajar<\/strong> ha sido encontrado ocultando malware en archivos de imagen aparentemente inocuos, lo que corrobora un eslab\u00f3n crucial en la cadena de infecci\u00f3n del actor de amenazas.<\/p>\n<p>La firma checa de ciberseguridad Avast dijo que el prop\u00f3sito de los archivos PNG es ocultar una carga \u00fatil que se utiliza para facilitar el robo de informaci\u00f3n.<\/p>\n<p>&#8220;Lo que es digno de menci\u00f3n es la recopilaci\u00f3n de datos de las m\u00e1quinas de las v\u00edctimas que usan el repositorio de DropBox, as\u00ed como de los atacantes que usan la API de DropBox para comunicarse con la etapa final&#8221;, dijo la compa\u00f1\u00eda. <a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/martinchlumecky\/png-steganography\/\" target=\"_blank\">dijo<\/a>.<\/p>\n<p>El desarrollo se produce poco m\u00e1s de dos meses despu\u00e9s de que ESET revelara los detalles de los ataques llevados a cabo por Worok contra empresas de alto perfil y gobiernos locales ubicados en Asia y \u00c1frica.  Se cree que Worok comparte superposiciones t\u00e1cticas con un actor de amenazas chino rastreado como TA428.<\/p>\n<p>La empresa de ciberseguridad eslovaca tambi\u00e9n document\u00f3 la secuencia de compromiso de Worok, que utiliza un cargador basado en C++ llamado <b>CLRCargar<\/b> para allanar el camino para un script PowerShell desconocido incrustado en im\u00e1genes PNG, una t\u00e9cnica conocida como esteganograf\u00eda.<\/p>\n<p>Dicho esto, el vector de ataque inicial a\u00fan se desconoce, aunque ciertas intrusiones han implicado el uso de vulnerabilidades ProxyShell en Microsoft Exchange Server para implementar el malware.<\/p>\n<p>Los hallazgos de Avast muestran que el colectivo adversario hace uso de <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Carga lateral de DLL<\/a> al obtener el acceso inicial para ejecutar el malware CLRLoad, pero no antes de realizar un movimiento lateral a trav\u00e9s del entorno infectado.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"CLRLoad Cargador de malware\" border=\"0\" data-original-height=\"357\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1668412335_529_Los-piratas-informaticos-de-Worok-abusan-de-la-API-de.jpg\" title=\"CLRLoad Cargador de malware\" \/><\/div>\n<p>Se dice que PNGLoad, que es lanzado por CLRLoad (o, alternativamente, otra primera etapa llamada PowHeartBeat), viene en dos variantes, cada una responsable de decodificar el c\u00f3digo malicioso dentro de la imagen para lanzar un script de PowerShell o una carga \u00fatil basada en .NET C#. .<\/p>\n<p>El script de PowerShell ha seguido siendo dif\u00edcil de alcanzar, aunque la compa\u00f1\u00eda de seguridad cibern\u00e9tica se\u00f1al\u00f3 que pudo marcar algunos archivos PNG pertenecientes a la segunda categor\u00eda que dispensaron un malware C # incrustado esteganogr\u00e1ficamente.<\/p>\n<p>&#8220;A primera vista, las im\u00e1genes PNG parecen inocentes, como una nube esponjosa&#8221;, dijo Avast.  &#8220;En este caso espec\u00edfico, los archivos PNG se encuentran en C:Program FilesInternet Explorer, por lo que la imagen no llama la atenci\u00f3n porque Internet Explorer tiene un tema similar&#8221;.<\/p>\n<p>Este nuevo malware, denominado DropBoxControl, es un implante de robo de informaci\u00f3n que utiliza una cuenta de Dropbox para comando y control, lo que permite al actor de amenazas cargar y descargar archivos en carpetas espec\u00edficas, as\u00ed como ejecutar comandos presentes en un determinado archivo.<\/p>\n<div class=\"ad_two clear\"><img decoding=\"async\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/El-servicio-de-phishing-de-Robin-Banks-para-ciberdelincuentes-regresa.gif\" style=\"float:left\" \/><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Algunos de los comandos notables incluyen la capacidad de ejecutar ejecutables arbitrarios, descargar y cargar datos, eliminar y renombrar archivos, capturar informaci\u00f3n de archivos, detectar comunicaciones de red y filtrar metadatos del sistema.<\/p>\n<p>Las empresas y las instituciones gubernamentales en Camboya, Vietnam y M\u00e9xico son algunos de los pa\u00edses destacados afectados por DropBoxControl, dijo Avast, y agreg\u00f3 que los autores del malware probablemente sean diferentes de los que est\u00e1n detr\u00e1s de CLRLoad y PNGLoad debido a &#8220;una calidad de c\u00f3digo significativamente diferente de estas cargas \u00fatiles&#8221;. &#8220;<\/p>\n<p>Independientemente, el despliegue del implante de tercera etapa como herramienta para recopilar archivos de inter\u00e9s indica claramente los objetivos de recopilaci\u00f3n de inteligencia de Worok, sin mencionar que sirve para ilustrar una extensi\u00f3n de su cadena de eliminaci\u00f3n.<\/p>\n<p>&#8220;La prevalencia de las herramientas de Worok en la naturaleza es baja, por lo que puede indicar que el conjunto de herramientas es un proyecto APT que se enfoca en entidades de alto perfil en los sectores p\u00fablico y privado en Asia, \u00c1frica y Am\u00e9rica del Norte&#8221;, concluyeron los investigadores.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/worok-hackers-abuse-dropbox-api-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un grupo de espionaje cibern\u00e9tico descubierto recientemente denominado trabajar ha sido encontrado ocultando malware en archivos de imagen<\/p>\n","protected":false},"author":1,"featured_media":474669,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[22345,4657,4656,10367,4661,4664,1755,91627,4662,22339,1462,6214,4668,246,4667,36,4654,4658,4659,4653,4655,15257,18,6213,4663,1732,4666,4665,7157,116,158,4660,107006],"class_list":["post-474668","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abusan","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-api","tag-ataques-ciberneticos","tag-como-hackear","tag-datos","tag-dropbox","tag-filtracion-de-datos","tag-filtrar","tag-imagenes","tag-informaticos","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-oculta","tag-para","tag-piratas","tag-programa-malicioso-ransomware","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-trasera","tag-traves","tag-una","tag-vulnerabilidad-de-software","tag-worok"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/474668","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=474668"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/474668\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/474669"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=474668"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=474668"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=474668"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}