{"id":595604,"date":"2023-01-27T15:41:28","date_gmt":"2023-01-27T15:41:28","guid":{"rendered":"https:\/\/teknomers.com\/es\/expertos-descubren-la-identidad-del-autor-intelectual-detras-del-servicio-de-malware-golden-chickens\/"},"modified":"2023-01-27T15:41:29","modified_gmt":"2023-01-27T15:41:29","slug":"expertos-descubren-la-identidad-del-autor-intelectual-detras-del-servicio-de-malware-golden-chickens","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/expertos-descubren-la-identidad-del-autor-intelectual-detras-del-servicio-de-malware-golden-chickens\/","title":{"rendered":"Expertos descubren la identidad del autor intelectual detr\u00e1s del servicio de malware Golden Chickens"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>27 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Respuesta a amenazas\/Crimen cibern\u00e9tico<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Investigadores de ciberseguridad han descubierto la identidad real del actor de amenazas detr\u00e1s pollos dorados <\/strong>malware-as-a-service, que se hace llamar “badbullzvenom” en l\u00ednea.<\/p>\n

La Unidad de Respuesta a Amenazas (TRU) de eSentire, en un informe exhaustivo publicado luego de una investigaci\u00f3n de 16 meses, dicho<\/a> “encontr\u00f3 m\u00faltiples menciones de la cuenta badbullzvenom compartida entre dos personas”.<\/p>\n

Se dice que el segundo actor de amenazas, conocido como Frapstar, se identifica como “Chuck de Montreal”, lo que permite a la empresa de ciberseguridad reconstruir la huella digital del actor criminal.<\/p>\n

Esto incluye su nombre real, fotograf\u00edas, domicilio, los nombres de sus padres, hermanos y amigos, junto con sus cuentas de redes sociales y sus intereses. Tambi\u00e9n se dice que es el \u00fanico propietario de una peque\u00f1a empresa que dirige desde su propia casa.<\/p>\n

Pollos dorados, tambi\u00e9n conocidos como Ara\u00f1a Venenosa<\/a>, es un proveedor de malware como servicio (MaaS) que est\u00e1 vinculado a una variedad de herramientas como Taurus Builder, software para crear documentos maliciosos; y More_eggs, un descargador de JavaScript que se usa para servir cargas \u00fatiles adicionales.<\/p>\n

El arsenal cibern\u00e9tico del actor de amenazas ha sido utilizado por otros grupos ciberdelincuentes prominentes como Grupo Cobalto<\/a> (tambi\u00e9n conocido como Cobalt Gang), Evilnum y FIN6, todos los cuales se estima que han causado p\u00e9rdidas colectivas por un total de $ 1.5 mil millones.<\/p>\n

\"Servicio<\/div>\n

Campa\u00f1as anteriores de More_eggs, algunas que data de 2017<\/a>han involucrado suplantaci\u00f3n de identidad<\/a> profesionales de negocios<\/a> en LinkedIn con ofertas de trabajo falsas que dan a los actores de amenazas control remoto sobre la m\u00e1quina de la v\u00edctima, aprovech\u00e1ndola para recopilar informaci\u00f3n o implementar m\u00e1s malware.<\/p>\n

El a\u00f1o pasado, en una especie de reversi\u00f3n, se emplearon las mismas t\u00e1cticas para atacar a los gerentes de contrataci\u00f3n corporativa con curr\u00edculos cargados de malware como vector de infecci\u00f3n.<\/p>\n

El registro documentado m\u00e1s antiguo de la actividad de Frapster se remonta a mayo de 2015, cuando Trend Micro descrito<\/a> al individuo como un “criminal solitario” y un entusiasta de los autos de lujo.<\/p>\n

“‘Chuck’, que usa m\u00faltiples alias para su foro clandestino, redes sociales y cuentas de Jabber, y el actor de amenazas que dice ser de Moldavia, han hecho todo lo posible para disfrazarse”, dijeron los investigadores de eSentire Joe Stewart y Keegan Keplinger.<\/p>\n

“Tambi\u00e9n se han esforzado mucho para ofuscar el malware Golden Chickens, tratando de que la mayor\u00eda de las empresas de AV no lo detecten y limitando a los clientes a usar Golden Chickens SOLAMENTE para ataques dirigidos”.<\/p>\n

Se sospecha que Chuck es uno de los dos actores de amenazas que operan la cuenta badbullzvenom en el foro clandestino Exploit.in, con la otra parte posiblemente ubicada en Moldavia o Rumania, se\u00f1al\u00f3 eSentire.<\/p>\n

La compa\u00f1\u00eda canadiense de ciberseguridad dijo que descubri\u00f3 adem\u00e1s una nueva campa\u00f1a de ataque dirigida a empresas de comercio electr\u00f3nico, enga\u00f1ando a los reclutadores para que descarguen un archivo de acceso directo de Windows falso de un sitio web que se hace pasar por un curr\u00edculum.<\/p>\n

El acceso directo, un malware denominado VenomLNK, sirve como vector de acceso inicial para colocar More_eggs o TerraLoader, que posteriormente act\u00faa como un conducto para implementar diferentes m\u00f3dulos, a saber, TerraRecon (para la creaci\u00f3n de perfiles de v\u00edctimas), TerraStealer (para el robo de informaci\u00f3n) y TerraCrypt (para extorsi\u00f3n de ransomware).<\/p>\n

“La suite de malware todav\u00eda se est\u00e1 desarrollando activamente y se vende a otros actores de amenazas”, concluyeron los investigadores, instando a las organizaciones a estar atentas a posibles intentos de phishing.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n