Los presuntos actores de amenazas rusos han estado apuntando a usuarios de Europa del Este en la industria de la criptograf\u00eda con oportunidades de trabajo falsas como cebo para instalar malware que roba informaci\u00f3n en hosts comprometidos.<\/p>\n
Los atacantes “utilizan varios cargadores personalizados altamente ofuscados y en desarrollo para infectar a los involucrados en la industria de las criptomonedas con el ladr\u00f3n de Enigma”, informaron los investigadores de Trend Micro, Aliakbar Zahravi y Peter Girnus. dicho<\/a> en un informe esta semana.<\/p>\n Se dice que Enigma es una versi\u00f3n alterada de Stealerium, un malware de c\u00f3digo abierto basado en C# que act\u00faa como ladr\u00f3n, recortador y registrador de teclas.<\/p>\n El intrincado proceso de infecci\u00f3n comienza con un archivo RAR falso que se distribuye a trav\u00e9s de phishing o plataformas de redes sociales. Contiene dos documentos, uno de los cuales es un archivo .TXT que incluye un conjunto de preguntas de entrevista de muestra relacionadas con la criptomoneda.<\/p>\n El segundo archivo es un documento de Microsoft Word que, si bien sirve como se\u00f1uelo, tiene la tarea de iniciar el cargador Enigma de la primera etapa, que, a su vez, descarga y ejecuta una carga \u00fatil ofuscada de la etapa secundaria a trav\u00e9s de Telegram.<\/p>\n “Para descargar la carga \u00fatil de la siguiente etapa, el malware primero env\u00eda una solicitud al canal de Telegram controlado por el atacante. […] para obtener la ruta del archivo”, dijeron los investigadores. “Este enfoque permite al atacante actualizar continuamente y elimina la dependencia de nombres de archivo fijos”.<\/p>\n El descargador de segunda etapa, que se ejecuta con privilegios elevados, est\u00e1 dise\u00f1ado para deshabilitar Microsoft Defender e instalar una tercera etapa mediante la implementaci\u00f3n de un controlador Intel en modo kernel firmado leg\u00edtimamente que es vulnerable a CVE-2015-2291 en un t\u00e9cnica<\/a> llamado<\/a> Traiga su propio conductor vulnerable<\/a> (BYOVD<\/a>).<\/p>\n Vale la pena se\u00f1alar que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agreg\u00f3 la vulnerabilidad a su cat\u00e1logo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotaci\u00f3n activa en la naturaleza.<\/p>\n La carga \u00fatil de la tercera etapa finalmente allana el camino para descargar Enigma Stealer desde un canal de Telegram controlado por actores. El malware, al igual que otros ladrones, viene con funciones para recopilar informaci\u00f3n confidencial, registrar pulsaciones de teclas y capturar capturas de pantalla, todo lo cual se extrae a trav\u00e9s de Telegram.<\/p>\n Las ofertas de trabajo falsas son una t\u00e1ctica probada y comprobada empleada por Lazarus Group, respaldado por Corea del Norte, en sus ataques dirigidos al sector de las criptomonedas. La adopci\u00f3n de este modus operandi por parte de los actores de amenazas rusos “demuestra un vector de ataque persistente y lucrativo”.<\/p>\n Los hallazgos vienen como Uptycs liberado<\/a> detalles de una campa\u00f1a de ataque que aprovecha el malware Stealerium para desviar datos personales, incluidas las credenciales para billeteras de criptomonedas como Armory, Atomic Wallet, Coinomi, Electrum, Exodus, Guarda, Jaxx Liberty y Zcash, entre otras.<\/p>\n Unirse a Enigma Stealer y Stealerium para apuntar a las billeteras de criptomonedas es otro malware denominado Ladr\u00f3n de vectores<\/a> que tambi\u00e9n viene con capacidades para robar archivos .RDP, lo que permite a los actores de amenazas llevar a cabo el secuestro de RDP para acceso remoto, dijo Cyble en un art\u00edculo t\u00e9cnico.<\/p>\n Las cadenas de ataques documentadas por las empresas de seguridad cibern\u00e9tica muestran que las familias de malware se entregan a trav\u00e9s de archivos adjuntos de Microsoft Office que contienen macros maliciosas, lo que sugiere que los malhechores a\u00fan conf\u00edan en el m\u00e9todo a pesar de los intentos de Microsoft de cerrar la brecha.<\/p>\n Tambi\u00e9n se ha utilizado un m\u00e9todo similar para implementar un criptominero Monero en el contexto de una campa\u00f1a de criptojacking y phishing dirigida a los usuarios espa\u00f1oles, seg\u00fan Laboratorios Fortinet FortiGuard<\/a>.<\/p>\n El desarrollo tambi\u00e9n es el \u00faltimo de una larga lista de ataques que tienen como objetivo robar los activos de criptomonedas de las v\u00edctimas en todas las plataformas.<\/p>\n Se trata de un troyano bancario Android de “r\u00e1pida evoluci\u00f3n” conocido como TgToxic, que saquea las credenciales y los fondos de las billeteras criptogr\u00e1ficas, as\u00ed como de las aplicaciones bancarias y financieras. La campa\u00f1a de malware en curso, activa desde julio de 2022, est\u00e1 dirigida contra usuarios m\u00f3viles en Taiw\u00e1n, Tailandia e Indonesia.<\/p>\n “Cuando la v\u00edctima descarga la aplicaci\u00f3n falsa del sitio web proporcionado por el autor de la amenaza, o si la v\u00edctima intenta enviar un mensaje directo al autor de la amenaza a trav\u00e9s de aplicaciones de mensajer\u00eda como WhatsApp o Viber, el ciberdelincuente enga\u00f1a al usuario para que se registre e instale el malware. y habilitando los permisos que necesita”, Trend Micro dicho<\/a>.<\/p>\n Las aplicaciones no autorizadas, adem\u00e1s de abusar de los servicios de accesibilidad de Android para realizar transferencias de fondos no autorizadas, tambi\u00e9n se destacan por abusar de marcos de automatizaci\u00f3n leg\u00edtimos como Easyclick y Auto.js para realizar clics y gestos, lo que lo convierte en el segundo malware de Android despu\u00e9s de PixPirate en incorporar dichos IDE de flujo de trabajo. .<\/p>\n Pero las campa\u00f1as de ingenier\u00eda social tambi\u00e9n han ido m\u00e1s all\u00e1 del phishing y el smishing en las redes sociales al establecer p\u00e1ginas de destino convincentes que imitan los servicios criptogr\u00e1ficos populares con el objetivo de transferir Ethereum y NFT de las billeteras pirateadas.<\/p>\n Esto, seg\u00fan Recorded Future, se logra mediante la inyecci\u00f3n de una secuencia de comandos de drenaje criptogr\u00e1fico en la p\u00e1gina de phishing que atrae a las v\u00edctimas para que conecten sus billeteras con ofertas lucrativas para acu\u00f1ar tokens no fungibles (NFT).<\/p>\n Estas p\u00e1ginas de phishing listas para usar se venden en los foros de la red oscura como parte de lo que se denomina phishing como servicio (PhaaS), lo que permite que otros actores alquilen estos paquetes y promulguen r\u00e1pidamente operaciones maliciosas a escala.<\/p>\n “Los ‘drenadores de cifrado’ son scripts maliciosos que funcionan como e-skimmers y se implementan con t\u00e9cnicas de phishing para robar los activos criptogr\u00e1ficos de las v\u00edctimas”, dijo la compa\u00f1\u00eda. dicho<\/a> en un informe publicado la semana pasada, que describe las estafas como efectivas y cada vez m\u00e1s populares.<\/p>\n “El uso de servicios leg\u00edtimos en las p\u00e1ginas de phishing de drenaje criptogr\u00e1fico puede aumentar la probabilidad de que la p\u00e1gina de phishing pase la ‘prueba de fuego de la estafa’ de un usuario inteligente”. Una vez que las billeteras criptogr\u00e1ficas se han visto comprometidas, no existen salvaguardas para evitar la transferencia il\u00edcita de activos a las billeteras de los atacantes”.<\/p>\n Los ataques se producen en un momento en que los grupos criminales han robado un r\u00e9cord de 3800 millones de d\u00f3lares de las empresas de criptomonedas en 2022, y gran parte del aumento se atribuye a los equipos de pirater\u00eda patrocinados por el estado de Corea del Norte.<\/p>\n <\/p>\n![\"Usuarios](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhdTbYoD6ZNzcbH1cykOh_73kXl1WAS46naHQmGJ3hIncPLGQUCcwmkRAMmjj_kfNXgQ9bxrKJrD8YKaF-kXbcWn5Mgf-S5F1GSHUCm83-8yPsQWknI45ILXHYyyr_VgP9EOK-SjHe3wIii1Hg9C7p2CxVAmLpMwIUkbPpDQKuFr7bDgs12GytTZcpC\/s728-e3650\/map.png\" "\\"Usuarios")
<\/div>\n![\"uptycs\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjclSeMUSajDolJ5YgMmWRheykSIfrKo5PgE1Mzo0SQkRyHsgTr7kf1QMeZrPuZ-ojVqmkznrTyd5cqiH3H0qIB9YxmPLgblh0T72kGTQLs724psgVRAKYvFZBn3tt5rItWyarZFRYwbEYP-MpILMnG9A_1Lpvd-RQaY7Z7r8QR6Iubb2XaE2gH7A10\/s728-e3650\/malware.png\" "\\"uptycs\\"\/")
<\/div>\n![\"Minero](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiVPfIDz2gpdXWUBbgL_1WVnHzGAocVdX8hC7SBmHFHWFWjnd_3U53raa2EZo0tWs3sIUy3tqd03fZPrPvrgxHi1_Ei0t0HlZwlCioOPFf7TgEvIN8VdfLuv5QTfWAEbKf9vHXO038WtoducgksQssG-b6TNoUcwGpEmcRUlWcis50Rf0rjp3AM3O33\/s728-e3650\/miner.png\" "\\"Minero")
<\/div>\n