En otro ejemplo de c\u00f3mo los actores de amenazas est\u00e1n abusando de Google Ads para entregar malware, se ha observado que un actor de amenazas aprovecha la t\u00e9cnica para entregar un nuevo troyano financiero y ladr\u00f3n de informaci\u00f3n basado en Windows llamado LOBSHOT<\/b>.<\/p>\n
“LOBSHOT contin\u00faa recolectando v\u00edctimas mientras permanece bajo el radar”, dijo el investigador de Elastic Security Labs, Daniel Stepanic, en un an\u00e1lisis. publicado<\/a> la semana pasada.<\/p>\n “Una de las capacidades principales de LOBSHOT es su componente hVNC (c\u00f3mputo de red virtual oculta). Este tipo de m\u00f3dulos permiten el acceso directo y no observado a la m\u00e1quina”.<\/p>\n La compa\u00f1\u00eda estadounidense-holandesa atribuy\u00f3 la cepa de malware a un actor de amenazas conocido como TA505 basado en la infraestructura hist\u00f3ricamente conectada al grupo. TA505 es un sindicato del crimen electr\u00f3nico motivado financieramente que se superpone con grupos de actividad rastreados bajo los nombres Evil Corp, FIN11 e Indrik Spider.<\/p>\n El \u00faltimo desarrollo es importante porque es una se\u00f1al de que TA505, que est\u00e1 asociado con el troyano bancario Dridex, est\u00e1 ampliando una vez m\u00e1s su arsenal de malware para perpetrar el robo de datos y el fraude financiero.<\/p>\n LOBSHOT, con muestras tempranas que datan de julio de 2022, se distribuye a trav\u00e9s de anuncios falsos de Google para herramientas leg\u00edtimas como AnyDesk que se alojan en una red de p\u00e1ginas de destino similares mantenida por los operadores.<\/p>\n El malware incorpora resoluci\u00f3n de importaci\u00f3n din\u00e1mica (es decir, resoluci\u00f3n de los nombres de las API de Windows necesarias en tiempo de ejecuci\u00f3n), comprobaciones antiemulaci\u00f3n y ofuscaci\u00f3n de cadenas para evadir la detecci\u00f3n por parte del software de seguridad.<\/p>\n Una vez instalado, realiza cambios en el Registro de Windows para configurar la persistencia y extrae datos de m\u00e1s de 50 extensiones de billetera de criptomonedas presentes en navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox.<\/p>\n Las otras caracter\u00edsticas notables de LOBSHOT giran en torno a su capacidad para acceder de forma remota al host comprometido a trav\u00e9s de un hVNC<\/a> m\u00f3dulo<\/a> y sigilosamente realizar acciones sobre \u00e9l sin llamar la atenci\u00f3n de la v\u00edctima.<\/p>\n “Los grupos de amenazas contin\u00faan aprovechando las t\u00e9cnicas de publicidad maliciosa para enmascarar software leg\u00edtimo con puertas traseras como LOBSHOT”, dijo Stepanic.<\/p>\n “Este tipo de malware parece peque\u00f1o, pero termina con una funcionalidad significativa que ayuda a los actores de amenazas a moverse r\u00e1pidamente durante las etapas iniciales de acceso con capacidades de control remoto totalmente interactivas”.<\/p>\n Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n \u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1682966412_237_APT28-apunta-a-entidades-gubernamentales-ucranianas-con-falsificaciones-quotactualizacion-de.png\")
<\/a><\/center><\/div>\n![\"Anuncios](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683021353_218_LOBSHOT-un-troyano-financiero-sigiloso-y-un-ladron-de-informacion.png\" "\\"Anuncios")
<\/div>\n