{"id":684925,"date":"2023-03-22T16:47:27","date_gmt":"2023-03-22T16:47:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-arsenal-en-evolucion-de-scarcruft-los-investigadores-revelan-nuevas-tecnicas-de-distribucion-de-malware\/"},"modified":"2023-03-22T16:47:29","modified_gmt":"2023-03-22T16:47:29","slug":"el-arsenal-en-evolucion-de-scarcruft-los-investigadores-revelan-nuevas-tecnicas-de-distribucion-de-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-arsenal-en-evolucion-de-scarcruft-los-investigadores-revelan-nuevas-tecnicas-de-distribucion-de-malware\/","title":{"rendered":"El arsenal en evoluci\u00f3n de ScarCruft: los investigadores revelan nuevas t\u00e9cnicas de distribuci\u00f3n de malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 de marzo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Inteligencia de amenazas cibern\u00e9ticas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El actor norcoreano de amenazas persistentes avanzadas (APT) apodado <b>ScarCruft<\/b> est\u00e1 utilizando archivos de ayuda HTML compilada (CHM) de Microsoft armados para descargar malware adicional.<\/p>\n<p>Seg\u00fan m\u00faltiples informes de <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/49089\/\" target=\"_blank\">Centro de respuesta a emergencias AhnLab Security<\/a> (<a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/49760\/\" target=\"_blank\">UN SEGUNDO<\/a>), <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/peeking-at-reaper-surveillance-operations-against-north-korea-defectors\/\" target=\"_blank\">SEKOIA.IO<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/unintentional-leak-glimpse-attack-vectors-apt37\" target=\"_blank\">Escalador Z<\/a>el desarrollo es ilustrativo de los esfuerzos continuos del grupo para refinar y reorganizar sus t\u00e1cticas para eludir la detecci\u00f3n.<\/p>\n<p>&#8220;El grupo est\u00e1 en constante evoluci\u00f3n de sus herramientas, t\u00e9cnicas y procedimientos mientras experimenta con nuevos formatos de archivo y m\u00e9todos para eludir a los proveedores de seguridad&#8221;, dijeron los investigadores de Zscaler Sudeep Singh y Naveen Selvan en un nuevo an\u00e1lisis publicado el martes. <\/p>\n<p>ScarCruft, tambi\u00e9n rastreado bajo los nombres APT37, Reaper, RedEyes y Ricochet Chollima, ha exhibido un mayor ritmo operativo desde el comienzo del a\u00f1o, apuntando a varias entidades de Corea del Sur con fines de espionaje.  Se sabe que est\u00e1 activo desde al menos 2012.<\/p>\n<p>El mes pasado, ASEC revel\u00f3 una campa\u00f1a que empleaba archivos HWP que aprovechan una falla de seguridad en el software de procesamiento de textos Hangul para implementar una puerta trasera denominada <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/48063\/\" target=\"_blank\">M2RAT<\/a>.<\/p>\n<p>Pero los nuevos hallazgos revelan que el actor de amenazas tambi\u00e9n est\u00e1 utilizando otros formatos de archivo como CHM, HTA, LNK, XLL y documentos de Microsoft Office basados \u200b\u200ben macros en sus ataques de phishing dirigido contra objetivos de Corea del Sur.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1679503647_908_El-arsenal-en-evolucion-de-ScarCruft-los-investigadores-revelan-nuevas.png\" alt=\"T\u00e9cnicas de distribuci\u00f3n de malware\" border=\"0\" data-original-height=\"573\" data-original-width=\"728\" title=\"T\u00e9cnicas de distribuci\u00f3n de malware\"\/><\/div>\n<p>Estas cadenas de infecci\u00f3n a menudo sirven para mostrar un archivo se\u00f1uelo e implementar una versi\u00f3n actualizada de un implante basado en PowerShell conocido como Chinotto, que es capaz de ejecutar comandos enviados por un servidor y filtrar datos confidenciales.<\/p>\n<p>Algunas de las nuevas capacidades de Chinotto incluyen capturas de pantalla cada cinco segundos y registro de pulsaciones de teclas.  La informaci\u00f3n capturada se guarda en un archivo ZIP y se env\u00eda a un servidor remoto.<\/p>\n<div class=\"ad_two clear\" style=\"margin:0;background:#eef2fe;color:#160755;padding:0 20px;border:2px solid rgba(156,169,237,0.61);border-radius:5px\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background:#c4c7ff;display:inline-block;padding:3px 20px;border-radius:100px;letter-spacing:1.2px\">SEMINARIO WEB<\/span><\/p>\n<p>Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px\">\u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa?  \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/webinar-inside\" target=\"_blank\" style=\"padding:12px 30px;border-radius:6px;background-color:#4a53af;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN:0 0 25px 0;float:left;font-weight:500\">RESERVA TU ASIENTO<\/a><\/div>\n<p>Los conocimientos sobre los diversos vectores de ataque de ScarCruft provienen de un repositorio de GitHub mantenido por el colectivo adversario para alojar cargas \u00fatiles maliciosas desde octubre de 2020.<\/p>\n<p>&#8220;El actor de amenazas pudo mantener un repositorio de GitHub, con frecuencia organizando cargas maliciosas durante m\u00e1s de dos a\u00f1os sin ser detectado o eliminado&#8221;, dijeron los investigadores de Zscaler.<\/p>\n<p>Fuera de la distribuci\u00f3n de malware, tambi\u00e9n se ha observado que ScarCruft sirve p\u00e1ginas web de phishing de credenciales dirigidas a m\u00faltiples servicios de correo electr\u00f3nico y en la nube como Naver, iCloud, Kakao, Mail.ru y 163.com.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1679503647_450_El-arsenal-en-evolucion-de-ScarCruft-los-investigadores-revelan-nuevas.png\" alt=\"T\u00e9cnicas de distribuci\u00f3n de malware\" border=\"0\" data-original-height=\"713\" data-original-width=\"728\" title=\"T\u00e9cnicas de distribuci\u00f3n de malware\"\/><\/div>\n<p>Sin embargo, no est\u00e1 claro c\u00f3mo acceden las v\u00edctimas a estas p\u00e1ginas, lo que plantea la posibilidad de que hayan sido incrustadas dentro de iframes en sitios web controlados por el atacante o enviadas como archivos adjuntos HTML por correo electr\u00f3nico.<\/p>\n<p>SEKOIA.IO tambi\u00e9n descubri\u00f3 una pieza de malware llamada AblyGo, una puerta trasera escrita en Go que utiliza el <a rel=\"nofollow noopener\" href=\"https:\/\/ably.com\/\" target=\"_blank\">H\u00e1bilmente<\/a> marco de mensajer\u00eda en tiempo real para recibir comandos.<\/p>\n<p>El uso de archivos CHM para contrabandear malware tambi\u00e9n parece estar ganando terreno en otros grupos afiliados a Corea del Norte, como ASEC. <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/49295\/\" target=\"_blank\">descubriendo<\/a> una campa\u00f1a de phishing orquestada por Kimsuky para distribuir una puerta trasera responsable de recopilar datos del portapapeles y registrar las pulsaciones de teclas.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/03\/scarcrufts-evolving-arsenal-researchers.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 de marzo de 2023\ue804Ravie Lakshman\u00e1nInteligencia de amenazas cibern\u00e9ticas El actor norcoreano de amenazas persistentes avanzadas (APT) apodado<\/p>\n","protected":false},"author":1,"featured_media":684926,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4673,4661,4664,17614,14937,4662,12583,4668,4667,36,4669,4654,4658,4659,4653,4655,2498,4663,2922,131233,4666,4665,12230,4660],"class_list":["post-684925","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-arsenal","tag-ataques-ciberneticos","tag-como-hackear","tag-distribucion","tag-evolucion","tag-filtracion-de-datos","tag-investigadores","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevas","tag-programa-malicioso-ransomware","tag-revelan","tag-scarcruft","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-tecnicas","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/684925","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=684925"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/684925\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/684926"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=684925"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=684925"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=684925"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}