{"id":622782,"date":"2023-02-13T08:29:27","date_gmt":"2023-02-13T08:29:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-que-apuntan-a-empresas-estadounidenses-y-alemanas-monitorean-los-escritorios-de-las-victimas-con-una-captura-de-pantalla\/"},"modified":"2023-02-13T08:29:29","modified_gmt":"2023-02-13T08:29:29","slug":"los-piratas-informaticos-que-apuntan-a-empresas-estadounidenses-y-alemanas-monitorean-los-escritorios-de-las-victimas-con-una-captura-de-pantalla","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-que-apuntan-a-empresas-estadounidenses-y-alemanas-monitorean-los-escritorios-de-las-victimas-con-una-captura-de-pantalla\/","title":{"rendered":"Los piratas inform\u00e1ticos que apuntan a empresas estadounidenses y alemanas monitorean los escritorios de las v\u00edctimas con una captura de pantalla"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un actor de amenazas previamente desconocido ha estado apuntando a empresas en los EE. UU. y Alemania con malware a medida dise\u00f1ado para robar informaci\u00f3n confidencial.<\/p>\n

Empresa de seguridad empresarial Proofpoint, que est\u00e1 rastreando el grupo de actividades bajo el nombre Tiempo de pantalla<\/strong>dijo el grupo, apodado TA866<\/strong>es probable que est\u00e9 motivado econ\u00f3micamente.<\/p>\n

“TA866 es un actor organizado capaz de realizar ataques bien pensados \u200b\u200ba escala en funci\u00f3n de su disponibilidad de herramientas personalizadas, la capacidad y las conexiones para comprar herramientas y servicios de otros proveedores y el aumento de los vol\u00famenes de actividad”, dijo la empresa. juzgado<\/a>.<\/p>\n

Se dice que las campa\u00f1as montadas por el adversario comenzaron alrededor del 3 de octubre de 2022, y los ataques se lanzaron a trav\u00e9s de correos electr\u00f3nicos que conten\u00edan un archivo adjunto con una trampa explosiva o una URL que conduce al malware. Los archivos adjuntos van desde archivos de Microsoft Publisher con macros hasta archivos PDF con URL que apuntan a archivos JavaScript.<\/p>\n

Las intrusiones tambi\u00e9n han aprovechado el secuestro de conversaciones para atraer a los destinatarios a hacer clic en direcciones URL aparentemente inocuas que inician una cadena de ataque de varios pasos.<\/p>\n

Independientemente del m\u00e9todo utilizado, la ejecuci\u00f3n del archivo JavaScript descargado conduce a un instalador MSI que desempaqueta un VBScript denominado WasabiSeed, que funciona como una herramienta para obtener malware de pr\u00f3xima etapa desde un servidor remoto.<\/p>\n

Una de las cargas \u00fatiles descargadas por WasabiSeed es Screenshotter, una utilidad que tiene la tarea de tomar capturas de pantalla del escritorio de la v\u00edctima peri\u00f3dicamente y transmitir esa informaci\u00f3n a un servidor de comando y control (C2).<\/p>\n

“Esto es \u00fatil para el actor de amenazas durante la etapa de reconocimiento y perfilado de v\u00edctimas”, dijo Axel F, investigador de Proofpoint.<\/p>\n

Una fase de reconocimiento exitosa es seguida por la distribuci\u00f3n de m\u00e1s malware para la explotaci\u00f3n posterior, con ataques seleccionados que implementan un bot basado en AutoHotKey (AHK) para eliminar un ladr\u00f3n de informaci\u00f3n llamado radamanthys<\/a>. <\/p>\n

Proofpoint dijo que las URL utilizadas en la campa\u00f1a involucraban un sistema de direcci\u00f3n de tr\u00e1fico (TDS) llamado 404 TDS, que permite al adversario servir malware solo en escenarios donde las v\u00edctimas cumplen con un conjunto espec\u00edfico de criterios, como geograf\u00eda, aplicaci\u00f3n de navegador y sistema operativo.<\/p>\n

Los or\u00edgenes de TA866 a\u00fan no est\u00e1n claros, aunque se han identificado nombres de variables y comentarios en ruso en el c\u00f3digo fuente de AHK Bot, cuya variante de 2020 se emple\u00f3 en ataques dirigidos a bancos canadienses y estadounidenses. Tambi\u00e9n se sospecha que el malware se ha utilizado ya en<\/a> abril 2019<\/a>.<\/p>\n

“El uso de Screenshotter para recopilar informaci\u00f3n sobre un host comprometido antes de implementar cargas \u00fatiles adicionales indica que el actor de amenazas est\u00e1 revisando manualmente las infecciones para identificar objetivos de alto valor”, dijo Proofpoint.<\/p>\n

\"\"<\/div>\n

“Es importante tener en cuenta que para que un compromiso tenga \u00e9xito, un usuario debe hacer clic en un enlace malicioso y, si se filtra con \u00e9xito, interactuar con un archivo JavaScript para descargar y ejecutar cargas \u00fatiles adicionales”.<\/p>\n

Los hallazgos se producen en medio de un aumento en los actores de amenazas. dif\u00edcil<\/a> afuera<\/a> nuevas formas<\/a> para ejecutar c\u00f3digo en los dispositivos de los objetivos despu\u00e9s de que Microsoft bloqueara las macros de forma predeterminada en los archivos de Office descargados de Internet.<\/p>\n

Esto incluye el uso de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO), publicidad maliciosa y falsificaci\u00f3n de marca para distribuir malware empaquetando las cargas \u00fatiles como software popular, como aplicaciones de escritorio remoto y plataformas de reuniones en l\u00ednea.<\/p>\n

Adem\u00e1s, los anuncios maliciosos en los resultados de b\u00fasqueda de Google se utilizan para redirigir a los usuarios desprevenidos a sitios web fraudulentos de phishing de credenciales que est\u00e1n dise\u00f1ados para robar los inicios de sesi\u00f3n de Amazon Web Services (AWS), seg\u00fan una nueva campa\u00f1a documentada por SentinelOne.<\/p>\n

\u201cLa proliferaci\u00f3n de anuncios de Google maliciosos que conducen a sitios web de phishing de AWS representa una seria amenaza no solo para los usuarios promedio, sino tambi\u00e9n para los administradores de redes y nubes\u201d, dijo la compa\u00f1\u00eda de ciberseguridad. dicho<\/a>.<\/p>\n

“La facilidad con la que se pueden lanzar estos ataques, combinada con la audiencia grande y diversa a la que puede llegar Google Ads, los convierte en una amenaza particularmente potente”.<\/p>\n

Otra t\u00e9cnica que ha experimentado un aumento en los \u00faltimos meses es el abuso de formatos de archivo novedosos como Microsoft OneNote y documentos de Publisher para la entrega de malware.<\/p>\n

Los ataques no son diferentes de los que utilizan otros tipos de archivos maliciosos de Office, en los que se enga\u00f1a al destinatario del correo electr\u00f3nico para que abra el documento y haga clic en un bot\u00f3n falso, lo que da como resultado la ejecuci\u00f3n de un c\u00f3digo HTA incrustado para recuperar el malware Qakbot.<\/p>\n

“A lo largo de los a\u00f1os, los administradores de correo electr\u00f3nico han establecido reglas que evitan por completo o lanzan advertencias que suenan severas en cualquier mensaje entrante que se origine fuera de la organizaci\u00f3n con una variedad de formatos de archivo abusivos adjuntos”, dijo Andrew Brandt, investigador de Sophos. dicho<\/a>.<\/p>\n

“Parece probable que las libretas OneNote .one sean el pr\u00f3ximo formato de archivo que terminar\u00e1 en el tajo de archivos adjuntos de correo electr\u00f3nico, pero por ahora, sigue siendo un riesgo persistente”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n