Un actor de amenazas bielorruso conocido como Ghostwriter (tambi\u00e9n conocido como UNC1151) ha sido visto aprovechando la t\u00e9cnica de navegador en el navegador (BitB) recientemente revelada como parte de sus campa\u00f1as de phishing de credenciales que explotan el conflicto ruso-ucraniano en curso.<\/p>\n
El m\u00e9todo, que se hace pasar por un dominio leg\u00edtimo simulando una ventana de navegador dentro del navegador, hace posible montar campa\u00f1as de ingenier\u00eda social convincentes.<\/p>\n
“Los actores de escritores fantasmas adoptaron r\u00e1pidamente esta nueva t\u00e9cnica, combin\u00e1ndola con una t\u00e9cnica observada anteriormente, alojando p\u00e1ginas de aterrizaje de phishing de credenciales en sitios comprometidos”, el Grupo de An\u00e1lisis de Amenazas (TAG) de Google. dijo<\/a> en un nuevo informe, us\u00e1ndolo para desviar las credenciales ingresadas por v\u00edctimas insospechadas a un servidor remoto.<\/p>\n Entre otros grupos que utilizan la guerra como se\u00f1uelo en campa\u00f1as de phishing y malware para enga\u00f1ar a los objetivos para que abran correos electr\u00f3nicos o enlaces fraudulentos se encuentran Mustang Panda y Scarab, as\u00ed como actores de estados-naci\u00f3n de Ir\u00e1n, Corea del Norte y Rusia.<\/p>\n Tambi\u00e9n se incluye en la lista Curious Gorge, un equipo de pirater\u00eda que TAG ha atribuido a la Fuerza de Apoyo Estrat\u00e9gico del Ej\u00e9rcito Popular de Liberaci\u00f3n de China (PLASSF), que ha orquestado ataques contra organizaciones gubernamentales y militares en Ucrania, Rusia, Kazajst\u00e1n y Mongolia.<\/p>\n Un tercer conjunto de ataques observados durante el per\u00edodo de las \u00faltimas dos semanas se origin\u00f3 en un grupo de pirater\u00eda con sede en Rusia conocido como COLDRIVER (tambi\u00e9n conocido como Calisto). TAG dijo que el actor realiz\u00f3 campa\u00f1as de phishing de credenciales dirigidas a m\u00faltiples ONG y grupos de expertos con sede en EE. UU., el ej\u00e9rcito de un pa\u00eds de los Balcanes y un contratista de defensa ucraniano no identificado.<\/p>\n “Sin embargo, por primera vez, TAG ha observado campa\u00f1as de COLDRIVER dirigidas al ej\u00e9rcito de varios pa\u00edses de Europa del Este, as\u00ed como un Centro de Excelencia de la OTAN”, dijo el investigador de TAG Billy Leonard. “Estas campa\u00f1as se enviaron utilizando cuentas de Gmail reci\u00e9n creadas a cuentas que no son de Google, por lo que se desconoce la tasa de \u00e9xito de estas campa\u00f1as”.<\/p>\n La divulgaci\u00f3n se produce cuando la empresa de telecomunicaciones con sede en EE. UU. Viasat revel\u00f3 detalles de un ataque cibern\u00e9tico “multifac\u00e9tico y deliberado” contra su red KA-SAT el 24 de febrero de 2022, coincidiendo con la invasi\u00f3n militar rusa de Ucrania.<\/p>\n El ataque al servicio de banda ancha por sat\u00e9lite desconect\u00f3 decenas de miles de m\u00f3dems de la red, lo que afect\u00f3 a varios clientes en Ucrania y en toda Europa y afect\u00f3 a la operaciones de 5.800 aerogeneradores<\/a> perteneciente a la empresa alemana Enercon en Europa Central.<\/p>\n “Creemos que el prop\u00f3sito del ataque fue interrumpir el servicio”, dijo la empresa. explicado<\/a>. “No hay evidencia de que se haya accedido o comprometido ning\u00fan dato del usuario final, ni de que se haya accedido indebidamente al equipo personal del cliente (PC, dispositivos m\u00f3viles, etc.), ni hay evidencia de que el sat\u00e9lite KA-SAT en s\u00ed mismo o su tierra satelital de apoyo la infraestructura misma estuvo directamente involucrada, da\u00f1ada o comprometida”.<\/p>\n Viasat vincul\u00f3 el ataque a una “intrusi\u00f3n en la red terrestre” que aprovech\u00f3 una mala configuraci\u00f3n en un dispositivo VPN para obtener acceso remoto a la red KA-SAT y ejecutar comandos destructivos en los m\u00f3dems que “sobrescribieron datos clave en la memoria flash”, convirti\u00e9ndolos temporalmente incapaz de acceder a la red.<\/p>\n Los implacables ataques son los \u00faltimos de una larga lista de actividades cibern\u00e9ticas maliciosas que surgieron a ra\u00edz del conflicto continuo en Europa del Este, con redes gubernamentales y comerciales que sufren una serie de infecciones disruptivas de borrado de datos junto con una serie de ataques distribuidos en curso. Ataques de denegaci\u00f3n de servicio (DDoS).<\/p>\n Esto tambi\u00e9n ha tomado la forma de comprometer sitios leg\u00edtimos de WordPress para inyectar c\u00f3digo JavaScript falso con el objetivo de llevar a cabo ataques DDoS contra dominios ucranianos, seg\u00fan investigadores<\/a> del MalwareHunterTeam.<\/p>\n Pero no es s\u00f3lo Ucrania. Esta semana, Malwarebytes Labs present\u00f3 los detalles de una nueva campa\u00f1a de phishing dirigido a ciudadanos rusos y entidades gubernamentales en un intento de implementar cargas \u00fatiles perniciosas en sistemas comprometidos.<\/p>\n “Los correos electr\u00f3nicos de spear phishing advierten a las personas que usan sitios web, redes sociales, mensajer\u00eda instant\u00e1nea y servicios VPN que han sido prohibidos por el gobierno ruso y que se presentar\u00e1n cargos penales”, Hossein Jazi dijo<\/a>. “Se atrae a las v\u00edctimas para que abran un archivo adjunto o enlace malicioso para obtener m\u00e1s informaci\u00f3n, solo para infectarse con Cobalt Strike”.<\/p>\n Los documentos RTF con malware contienen un exploit para la vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo MSHTML ampliamente abusada (CVE-2021-40444), lo que lleva a la ejecuci\u00f3n de un c\u00f3digo JavaScript que genera un comando PowerShell para descargar y ejecutar una baliza Cobalt Strike recuperada de un servidor remoto.<\/p>\n Otro grupo de actividad potencialmente se relaciona con un actor de amenazas ruso rastreado como Carbon Spider (tambi\u00e9n conocido como FIN7), que ha empleado un vector de ataque similar orientado a maldocs que est\u00e1 dise\u00f1ado para lanzar una puerta trasera basada en PowerShell capaz de buscar y ejecutar un ejecutable de la siguiente etapa.<\/p>\n Malwarebytes tambi\u00e9n dijo que detect\u00f3 un “aumento significativo en las familias de malware que se utilizan con la intenci\u00f3n de robar informaci\u00f3n u obtener acceso en Ucrania”, incluyendo Hacktool.LOIC<\/a>, Gusano Ainslot<\/a>FFDroider, libro de formularios<\/a>, Remcos<\/a>y rata cu\u00e1sar<\/a>.<\/p>\n “Si bien estas familias son relativamente comunes en el mundo de la ciberseguridad, el hecho de que hayamos presenciado picos casi exactamente cuando las tropas rusas cruzaron la frontera con Ucrania hace que estos desarrollos sean interesantes e inusuales”, dijo Adam Kujawa, director de Malwarebytes Labs, en un comunicado compartido con Las noticias de los hackers.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/El-malware-bancario-para-Android-TeaBot-se-propaga-de-nuevo.png\")
<\/a><\/div>\nViasat descompone el ataque del 24 de febrero<\/h3>\n
![\"Ataques](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1648750647_710_Los-piratas-informaticos-utilizan-cada-vez-mas-la-tecnica-de.jpg\" "\\"Ataques")
<\/div>\nDisidentes rusos atacados con Cobalt Strike<\/h3>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n