{"id":569254,"date":"2023-01-11T14:54:22","date_gmt":"2023-01-11T14:54:22","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-sector-sanitario-australiano-es-el-objetivo-de-los-ultimos-ataques-de-malware-de-gootkit\/"},"modified":"2023-01-11T14:54:23","modified_gmt":"2023-01-11T14:54:23","slug":"el-sector-sanitario-australiano-es-el-objetivo-de-los-ultimos-ataques-de-malware-de-gootkit","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-sector-sanitario-australiano-es-el-objetivo-de-los-ultimos-ataques-de-malware-de-gootkit\/","title":{"rendered":"El sector sanitario australiano es el objetivo de los \u00faltimos ataques de malware de Gootkit"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>11 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Cuidado de la salud \/ Amenaza cibern\u00e9tica<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Una ola de ataques del cargador de malware Gootkit se ha dirigido al sector de la salud australiano al aprovechar herramientas leg\u00edtimas como VLC Media Player.<\/p>\n

Gootkit, tambi\u00e9n llamado Gootloader, es conocido<\/a> a emplear<\/a> t\u00e1cticas de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO) (tambi\u00e9n conocido como spamdexing) para el acceso inicial. Por lo general, funciona al comprometer y abusar de la infraestructura leg\u00edtima y al sembrar esos sitios con palabras clave comunes.<\/p>\n

Al igual que otros programas maliciosos de este tipo, Gootkit es capaz de robar datos del navegador, realizar ataques de adversario en el navegador (AitB), registrar teclas, tomar capturas de pantalla y otras acciones maliciosas.<\/p>\n

Trend Micro nuevos hallazgos<\/a> revelan que las palabras clave “hospital”, “salud”, “m\u00e9dico” y “acuerdo empresarial” se han emparejado con varios nombres de ciudades en Australia, lo que marca la expansi\u00f3n de un malware m\u00e1s all\u00e1 de los bufetes de abogados y contables.<\/p>\n

El punto de partida del ataque cibern\u00e9tico es dirigir a los usuarios que buscan las mismas palabras clave a un blog de WordPress infectado que los enga\u00f1a para que descarguen archivos ZIP con malware.<\/p>\n

“Al acceder al sitio, al usuario se le presenta una pantalla que se ha dise\u00f1ado para parecerse a un foro leg\u00edtimo”, dijeron los investigadores de Trend Micro. “Los usuarios deben acceder al enlace para que se pueda descargar el archivo ZIP malicioso”.<\/p>\n

\"Ataques<\/div>\n

Adem\u00e1s, el c\u00f3digo JavaScript que se usa para realizar este truco se inyecta en un archivo JavaScript v\u00e1lido en secciones aleatorias del sitio web violado.<\/p>\n

El archivo ZIP descargado, por su parte, tambi\u00e9n contiene un archivo JavaScript que, al ejecutarse, no solo emplea la ofuscaci\u00f3n para evadir el an\u00e1lisis, sino que tambi\u00e9n se usa para establecer la persistencia en la m\u00e1quina por medio de una tarea programada.<\/p>\n

Posteriormente, la cadena de ejecuci\u00f3n conduce a un script de PowerShell que est\u00e1 dise\u00f1ado para recuperar archivos de un servidor remoto para la actividad posterior a la explotaci\u00f3n, que comienza solo despu\u00e9s de un per\u00edodo de espera que va desde un par de horas hasta dos d\u00edas.<\/p>\n

“Esta latencia, que separa claramente la etapa de infecci\u00f3n inicial de la segunda etapa, es una caracter\u00edstica distintiva del funcionamiento del cargador de Gootkit”, dijeron los investigadores.<\/p>\n

Una vez que transcurre el tiempo de espera, se eliminan dos cargas \u00fatiles adicionales: msdtc.exe y libvlc.dll, la primera de las cuales es un binario leg\u00edtimo de VLC Media Player que se usa para cargar el componente Cobalt Strike DLL, seguido de la descarga de m\u00e1s herramientas para facilitar el descubrimiento.<\/p>\n

“Los actores maliciosos detr\u00e1s [Gootkit] est\u00e1n implementando activamente su campa\u00f1a”, dijeron los investigadores. “Las amenazas dirigidas a sectores laborales, industrias y \u00e1reas geogr\u00e1ficas espec\u00edficas se est\u00e1n volviendo m\u00e1s agresivas”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n