{"id":560259,"date":"2023-01-05T23:42:36","date_gmt":"2023-01-05T23:42:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/las-tacticas-en-evolucion-de-vidar-stealer-de-los-correos-electronicos-de-phishing-a-las-redes-sociales\/"},"modified":"2023-01-05T23:42:38","modified_gmt":"2023-01-05T23:42:38","slug":"las-tacticas-en-evolucion-de-vidar-stealer-de-los-correos-electronicos-de-phishing-a-las-redes-sociales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/las-tacticas-en-evolucion-de-vidar-stealer-de-los-correos-electronicos-de-phishing-a-las-redes-sociales\/","title":{"rendered":"Las t\u00e1cticas en evoluci\u00f3n de Vidar Stealer: de los correos electr\u00f3nicos de phishing a las redes sociales"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 de enero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad de datos\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El notorio ladr\u00f3n de informaci\u00f3n conocido como <strong>Vidar<\/strong> contin\u00faa aprovechando los servicios de redes sociales populares como TikTok, Telegram, Steam y Mastodon como un servidor intermedio de comando y control (C2).<\/p>\n<p>&#8220;Cuando un usuario crea una cuenta en una plataforma en l\u00ednea, se genera una p\u00e1gina de cuenta \u00fanica a la que cualquiera puede acceder&#8221;, revel\u00f3 AhnLab Security Emergency Response Center (ASEC) en un an\u00e1lisis t\u00e9cnico. <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/44554\/\" target=\"_blank\">publicado<\/a> a finales del mes pasado.  &#8220;Los actores de amenazas escriben caracteres de identificaci\u00f3n y la direcci\u00f3n C2 en partes de esta p\u00e1gina&#8221;.<\/p>\n<p>En otras palabras, la t\u00e9cnica se basa en cuentas desechables controladas por actores creadas en las redes sociales para recuperar la direcci\u00f3n C2.<\/p>\n<p>Una ventaja de este enfoque es que, en caso de que el servidor C2 sea desactivado o bloqueado, el adversario puede eludir las restricciones de manera trivial configurando un nuevo servidor y editando las p\u00e1ginas de la cuenta para permitir que el malware distribuido previamente se comunique con el servidor.<\/p>\n<p>Vidar, identificado por primera vez en 2018, es un <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2021\/10\/26\/vidar-stealer-under-the-lens-a-deep-dive-analysis\/\" target=\"_blank\">comercial<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/30875\/\" target=\"_blank\">fuera de la plataforma<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/vidar-malware-launcher-concealed-in-help-file\/\" target=\"_blank\">malware<\/a> eso es capaz de recolectar una amplia gama de informaci\u00f3n de hosts comprometidos.  Por lo general, se basa en mecanismos de entrega como correos electr\u00f3nicos de phishing y software descifrado para la propagaci\u00f3n.<\/p>\n<p>&#8220;Una vez que se completa la recopilaci\u00f3n de informaci\u00f3n, la informaci\u00f3n extorsionada se comprime en un archivo ZIP, se codifica en Base64 y se transmite al servidor C2&#8221;, dijeron los investigadores de ASEC.<\/p>\n<p>La novedad de la \u00faltima versi\u00f3n del malware (versi\u00f3n 56.1) es que los datos recopilados se codifican antes de la exfiltraci\u00f3n, un cambio con respecto a las variantes anteriores que se sabe que env\u00edan los datos del archivo comprimido en formato de texto sin formato.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/Las-tacticas-en-evolucion-de-Vidar-Stealer-de-los-correos.png\" alt=\"Vidar\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" title=\"Vidar\"\/><\/div>\n<p>&#8220;Como Vidar utiliza plataformas famosas como intermediario C2, tiene una larga vida \u00fatil&#8221;, dijeron los investigadores.  &#8220;La cuenta de un actor de amenazas creada hace seis meses a\u00fan se mantiene y se actualiza continuamente&#8221;.<\/p>\n<p>El desarrollo se produce en medio de hallazgos recientes de que el malware se distribuye utilizando una variedad de m\u00e9todos, incluidos Google Ads maliciosos y un cargador de malware denominado <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2022\/bumblebee-increasing-its-capacity-and-evolving-its-ttps\/\" target=\"_blank\">Abejorro<\/a>el \u00faltimo de los cuales se atribuye a un actor de amenazas rastreado como Exotic Lily y <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/bumblebee-malware-projector-libra\/\" target=\"_blank\">Libra proyector<\/a>.<\/p>\n<p>La consultora de riesgos Kroll, en un <a rel=\"nofollow noopener\" href=\"https:\/\/www.kroll.com\/en\/insights\/publications\/cyber\/threat-actors-google-ads-deploy-vidar-stealer\" target=\"_blank\">an\u00e1lisis<\/a> publicado el mes pasado, dijo que descubri\u00f3 un anuncio para el editor de im\u00e1genes de c\u00f3digo abierto GIMP que, cuando se hac\u00eda clic en el resultado de b\u00fasqueda de Google, redirig\u00eda a la v\u00edctima a un dominio con errores tipogr\u00e1ficos que albergaba el malware Vidar.<\/p>\n<p>En todo caso, la evoluci\u00f3n de los m\u00e9todos de entrega de malware en el panorama de las amenazas es en parte una respuesta a la decisi\u00f3n de Microsoft de bloquear las macros de forma predeterminada en los archivos de Office descargados de Internet desde julio de 2022.<\/p>\n<p>Esto ha llevado a un aumento en el abuso de formatos de archivo alternativos como ISO, VHD, SVG y XLL en los archivos adjuntos de correo electr\u00f3nico para eludir las protecciones Mark of the Web (MotW) y evadir las medidas de escaneo antimalware.<\/p>\n<p>&#8220;Los archivos de imagen de disco pueden pasar por alto la funci\u00f3n MotW porque cuando los archivos dentro de ellos se extraen o montan, MotW no se hereda a los archivos&#8221;, investigadores de ASEC. <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/44662\/\" target=\"_blank\">dicho<\/a>que detalla una campa\u00f1a de Qakbot que aprovecha una combinaci\u00f3n de contrabando de HTML y archivo VHD para lanzar el malware.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/the-evolving-tactics-of-vidar-stealer.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 de enero de 2023\ue804Ravie Lakshman\u00e1nSeguridad de datos\/malware El notorio ladr\u00f3n de informaci\u00f3n conocido como Vidar contin\u00faa aprovechando<\/p>\n","protected":false},"author":1,"featured_media":560260,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,27970,27936,14937,4662,4668,246,4667,36,4654,4658,4659,4653,4655,8178,4663,253,4666,4665,254,39208,11334,67474,4660],"class_list":["post-560259","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-correos","tag-electronicos","tag-evolucion","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-phishing","tag-programa-malicioso-ransomware","tag-redes","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sociales","tag-stealer","tag-tacticas","tag-vidar","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/560259","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=560259"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/560259\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/560260"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=560259"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=560259"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=560259"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}