Una nueva campa\u00f1a de phishing dirigida se ha centrado en una soluci\u00f3n de autenticaci\u00f3n de dos factores llamada Kavach<\/b> eso es utilizado por los funcionarios del gobierno indio.<\/p>\n
La firma de seguridad cibern\u00e9tica Securonix apod\u00f3 la actividad STEPPY#KAVACH<\/strong>atribuy\u00e9ndolo a un actor de amenazas conocido como SideCopy basado en superposiciones t\u00e1cticas con ataques anteriores.<\/p>\n “Los archivos .LNK se utilizan para iniciar la ejecuci\u00f3n de c\u00f3digo que eventualmente descarga y ejecuta una carga maliciosa de C#, que funciona como un troyano de acceso remoto (RAT)”, los investigadores de Securonix Den Iuzvyk, Tim Peck y Oleg Kolesnikov dijo<\/a> en un nuevo informe.<\/p>\n Copia lateral, una tripulaci\u00f3n de pirater\u00eda<\/a> Se cree que es de origen pakistan\u00ed y est\u00e1 activo desde al menos 2019, se dice que comparte v\u00ednculos con otro actor llamado Transparent Tribe (tambi\u00e9n conocido como APT36 o Mythic Leopard).<\/p>\n Tambi\u00e9n se sabe que se hace pasar por cadenas de ataque aprovechadas por SideWinder, un prol\u00edfico grupo de estado-naci\u00f3n que selecciona de manera desproporcionada a las entidades militares con sede en Pakist\u00e1n para implementar su propio conjunto de herramientas.<\/p>\n Dicho esto, esta no es la primera vez que Kavach surge como objetivo para el actor. En julio de 2021, Cisco Talos detall\u00f3 una operaci\u00f3n de espionaje que se llev\u00f3 a cabo para robar credenciales de empleados del gobierno indio.<\/p>\n Desde entonces, las aplicaciones de se\u00f1uelo con el tema de Kavach han sido cooptadas por Transparent Tribe en sus ataques contra la India desde principios de a\u00f1o.<\/p>\n La \u00faltima secuencia de ataque observada por Securonix en las \u00faltimas semanas implica el uso de correos electr\u00f3nicos de phishing para atraer a las v\u00edctimas potenciales para que abran un archivo de acceso directo (.LNK) para ejecutar una carga \u00fatil remota .HTA utilizando el mshta.exe<\/a> Utilidad de Windows.<\/p>\n La aplicaci\u00f3n HTML, dijo la compa\u00f1\u00eda, “fue descubierta alojada en un sitio web probablemente comprometido, anidado dentro de un oscuro directorio de ‘galer\u00eda’ dise\u00f1ado para almacenar algunas de las im\u00e1genes del sitio”.<\/p>\n El sitio web comprometido en cuesti\u00f3n es incometaxdelhi[.]org, el sitio web oficial del Departamento de Impuestos sobre la Renta de la India correspondiente a la regi\u00f3n de Delhi. El archivo malicioso ya no est\u00e1 disponible en el portal.<\/p>\n En la siguiente fase, ejecutar el archivo .HTA conduce a la ejecuci\u00f3n de c\u00f3digo JavaScript ofuscado que est\u00e1 dise\u00f1ado para mostrar un archivo de imagen de se\u00f1uelo que presenta un anuncio<\/a> del Ministerio de Defensa de la India hace un a\u00f1o en diciembre de 2021.<\/p>\n El c\u00f3digo JavaScript descarga adem\u00e1s un ejecutable desde un servidor remoto, establece la persistencia a trav\u00e9s de las modificaciones del Registro de Windows y reinicia la m\u00e1quina para iniciar autom\u00e1ticamente el inicio de la publicaci\u00f3n binaria.<\/p>\n El archivo binario, por su parte, funciona como una puerta trasera que permite al actor de amenazas ejecutar comandos enviados desde un dominio controlado por el atacante, obtener y ejecutar cargas \u00fatiles adicionales, tomar capturas de pantalla y filtrar archivos.<\/p>\n El componente de exfiltraci\u00f3n tambi\u00e9n incluye una opci\u00f3n para buscar espec\u00edficamente un archivo de base de datos (“kavach.db”) creado por la aplicaci\u00f3n Kavach en el sistema para almacenar las credenciales.<\/p>\n Vale la pena se\u00f1alar que la cadena de infecci\u00f3n antes mencionada fue revelado<\/a> por MalwareHunterTeam en una serie de tweets el 8 de diciembre de 2022, describiendo el troyano de acceso remoto como MargulasRAT.<\/p>\n “Seg\u00fan los datos correlacionados de las muestras binarias obtenidas de la RAT utilizada por los actores de amenazas, esta campa\u00f1a se ha llevado a cabo contra objetivos indios sin ser detectados durante el \u00faltimo a\u00f1o”, dijeron los investigadores.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1671775336_930_LastPass-admite-violacion-grave-de-datos-bovedas-de-contrasenas-cifradas.png\")
<\/a><\/center><\/div>\n![\"Ataques](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1671802732_761_Investigadores-advierten-sobre-ataques-de-phishing-Kavach-2FA-dirigidos-al.png\" "\\"Ataques")
<\/div>\n