Los investigadores de seguridad cibern\u00e9tica han informado de un aumento en TrueBot<\/strong> infecciones, principalmente dirigidas a M\u00e9xico, Brasil, Pakist\u00e1n y los EE. UU.<\/p>\n Cisco Talos dijo que los atacantes detr\u00e1s de la operaci\u00f3n han pasado del uso de correos electr\u00f3nicos maliciosos a m\u00e9todos de entrega alternativos, como la explotaci\u00f3n de una falla de ejecuci\u00f3n remota de c\u00f3digo (RCE) ahora parcheada en el auditor de Netwrix, as\u00ed como el gusano Raspberry Robin.<\/p>\n “La actividad posterior al compromiso incluy\u00f3 el robo de datos y la ejecuci\u00f3n del ransomware Clop”, investigador de seguridad Tiago Pereira. dijo<\/a> en un informe del jueves.<\/p>\n TrueBot es un descargador de malware de Windows que se atribuye a un actor de amenazas rastreado por Group-IB como Silence, un equipo de habla rusa que se cree que compartir asociaciones<\/a> con Evil Corp (tambi\u00e9n conocido como DEV-0243) y TA505<\/a>.<\/p>\n El m\u00f3dulo de la primera etapa funciona como un punto de entrada para las actividades posteriores a la explotaci\u00f3n, incluido el robo de informaci\u00f3n utilizando una utilidad de exfiltraci\u00f3n de datos personalizada hasta ahora desconocida denominada Teleport, dijo la firma de ciberseguridad.<\/p>\n Microsoft destac\u00f3 recientemente el uso de Raspberry Robin, un gusano que se propaga principalmente a trav\u00e9s de unidades USB infectadas, como un vector de entrega para TrueBot, que dijo que es parte de un “ecosistema de malware complejo e interconectado”.<\/p>\n En lo que es otra se\u00f1al de colaboraci\u00f3n enredada con otras familias de malware, tambi\u00e9n se ha observado que Raspberry Robin se implementa Actualizaciones falsas<\/a> (tambi\u00e9n conocido como SocGholish) en sistemas comprometidos, lo que en \u00faltima instancia conduce a un comportamiento similar al ransomware vinculado a Evil Corp.<\/p>\n Microsoft est\u00e1 rastreando a los operadores del malware basado en USB como DEV-0856 y los ataques de ransomware Clop que ocurren a trav\u00e9s de Raspberry Robin y TrueBot bajo el grupo de amenazas emergentes DEV-0950.<\/p>\n “DEV-0950 tradicionalmente usa phishing para adquirir a la mayor\u00eda de sus v\u00edctimas, por lo que este notable cambio al uso de Raspberry Robin les permite entregar cargas \u00fatiles a infecciones existentes y mover sus campa\u00f1as m\u00e1s r\u00e1pidamente a etapas de ransomware”, se\u00f1al\u00f3 el fabricante de Windows en octubre de 2022.<\/p>\n Los \u00faltimos hallazgos de Cisco Talos muestran que Silence APT llev\u00f3 a cabo un peque\u00f1o conjunto de ataques entre mediados de agosto y septiembre de 2022 al abusar de una vulnerabilidad cr\u00edtica de RCE en el auditor de Netwrix (CVE-2022-31199<\/a>puntaje CVSS: 9.8) para descargar y ejecutar TrueBot.<\/p>\n El hecho de que el error se convirti\u00f3 en un arma solo un mes despu\u00e9s de su divulgaci\u00f3n p\u00fablica por parte del obispo Fox a mediados de julio de 2022 sugiere que “los atacantes no solo buscan nuevos vectores de infecci\u00f3n, sino que tambi\u00e9n pueden probarlos r\u00e1pidamente e incorporarlos en su flujo de trabajo”, dijo Pereira.<\/p>\n Sin embargo, las infecciones de TrueBot en octubre implicaron el uso de un vector de ataque diferente, es decir, Raspberry Robin, lo que subraya la evaluaci\u00f3n de Microsoft sobre el papel central del gusano USB como plataforma de distribuci\u00f3n de malware. <\/p>\n La funci\u00f3n principal de TrueBot es recopilar informaci\u00f3n del host e implementar cargas \u00fatiles de la siguiente etapa, como Cobalt Strike, FlawedGrace y Teleport. A esto le sigue la ejecuci\u00f3n del binario de ransomware despu\u00e9s de recopilar informaci\u00f3n relevante.<\/p>\n La herramienta de exfiltraci\u00f3n de datos Teleport tambi\u00e9n se destaca por su capacidad para limitar las velocidades de carga y el tama\u00f1o de los archivos, lo que hace que las transmisiones no sean detectadas por el software de monitoreo. Adem\u00e1s de eso, puede borrar su propia presencia de la m\u00e1quina.<\/p>\n Una mirada m\u00e1s cercana a los comandos emitidos a trav\u00e9s de Teleport revela que el programa se usa exclusivamente para recopilar archivos de las carpetas OneDrive y Descargas, as\u00ed como los mensajes de correo electr\u00f3nico de Outlook de la v\u00edctima.<\/p>\n “La entrega de Raspberry Robin condujo a la creaci\u00f3n de una botnet de m\u00e1s de 1000 sistemas que se distribuye en todo el mundo, pero con un enfoque particular en M\u00e9xico, Brasil y Pakist\u00e1n”, dijo Pereira.<\/p>\n Los atacantes, sin embargo, parecen haber cambiado a un mecanismo de distribuci\u00f3n TrueBot desconocido a partir de noviembre, con el vector logrando cooptar m\u00e1s de 500 servidores Windows con acceso a Internet ubicados en los EE. UU., Canad\u00e1 y Brasil en una red de bots.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Los-investigadores-detallan-la-vulnerabilidad-entre-inquilinos-de-AppSync-en.jpg\")
<\/a><\/center><\/div>\n![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1670609138_667_Nueva-variante-de-malware-Truebot-que-aprovecha-Netwrix-Auditor-Bug.png\" "\\"Software")
<\/div>\n![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1670609138_859_Nueva-variante-de-malware-Truebot-que-aprovecha-Netwrix-Auditor-Bug.png\" "\\"Software")
<\/div>\n