Una amenaza persistente avanzada (APT) de habla china se ha vinculado a una nueva campa\u00f1a dirigida a empresas relacionadas con los juegos de azar en el sudeste asi\u00e1tico, en particular Taiw\u00e1n, Filipinas y Hong Kong.<\/p>\n
La firma de ciberseguridad Avast denomin\u00f3 la campa\u00f1a Operaci\u00f3n Enroque de Dragones<\/a>, describiendo su arsenal de malware como un “conjunto de herramientas robusto y modular”. Los motivos finales del actor de la amenaza a\u00fan no se pueden discernir de inmediato ni se ha relacionado con un grupo de pirater\u00eda conocido.<\/p>\n Si bien se emplearon m\u00faltiples v\u00edas de acceso inicial durante el curso de la campa\u00f1a, uno de los vectores de ataque implic\u00f3 aprovechar una falla de ejecuci\u00f3n remota de c\u00f3digo previamente desconocida en la suite WPS Office (CVE-2022-24934<\/a>) a la puerta trasera de sus objetivos. Desde entonces, el problema ha sido abordado por Kingsoft Office, los desarrolladores del software de oficina.<\/p>\n En el caso observado por la empresa de seguridad checa, la vulnerabilidad se utiliz\u00f3 para eliminar un binario malicioso de un servidor de actualizaci\u00f3n falso con el dominio update.wps[.]cn que desencadena una cadena de infecci\u00f3n de varias etapas que conduce al despliegue de cargas \u00fatiles intermedias que permiten la escalada de privilegios antes de finalmente eliminar el m\u00f3dulo Proto8.<\/p>\n “El m\u00f3dulo principal es una sola DLL que es responsable de configurar el directorio de trabajo del malware, cargar archivos de configuraci\u00f3n, actualizar su c\u00f3digo, cargar complementos, balizar a [command-and-control] servidores y esperando comandos”, dijeron los investigadores de Avast Luigino Camastra, Igor Morgenstern, Jan Holman.<\/p>\n El sistema basado en complementos de Proto8 que se usa para ampliar su funcionalidad permite que el malware logre persistencia, omita el control de la cuenta de usuario (UAC<\/a>), crear nuevas cuentas de puerta trasera e incluso ejecutar comandos arbitrarios en el sistema infectado.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Notorious-Trickbot-Malware-Gang-cierra-su-infraestructura-de-botnet.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1648140877_182_Hackers-chinos-de-APT-apuntan-a-empresas-de-apuestas-en.jpg\")
<\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n