{"id":747372,"date":"2023-05-10T14:42:39","date_gmt":"2023-05-10T14:42:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/sofisticada-campana-de-malware-downex-dirigida-a-los-gobiernos-de-asia-central\/"},"modified":"2023-05-10T14:42:42","modified_gmt":"2023-05-10T14:42:42","slug":"sofisticada-campana-de-malware-downex-dirigida-a-los-gobiernos-de-asia-central","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/sofisticada-campana-de-malware-downex-dirigida-a-los-gobiernos-de-asia-central\/","title":{"rendered":"Sofisticada campa\u00f1a de malware DownEx dirigida a los gobiernos de Asia Central"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Malware\/ataque cibern\u00e9tico<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Las organizaciones gubernamentales en Asia Central son el objetivo de una sofisticada campa\u00f1a de espionaje que aprovecha una cepa de malware previamente no documentada denominada <strong>AbajoEx<\/strong>.<\/p>\n<p>Bitdefender, en un <a rel=\"nofollow noopener\" href=\"https:\/\/businessinsights.bitdefender.com\/deep-dive-into-downex-espionage-operation-in-central-asia\" target=\"_blank\">informe<\/a> compartido con The Hacker News, dijo que la actividad permanece activa, con evidencia que probablemente apunta a la participaci\u00f3n de actores de amenazas con sede en Rusia.<\/p>\n<p>La firma rumana de ciberseguridad dijo que detect\u00f3 el malware por primera vez en un ataque altamente dirigido a instituciones gubernamentales extranjeras en Kazajst\u00e1n a fines de 2022. Posteriormente, se observ\u00f3 otro ataque en Afganist\u00e1n.<\/p>\n<p>El uso de un documento de se\u00f1uelo con tem\u00e1tica diplom\u00e1tica y el enfoque de la campa\u00f1a en la exfiltraci\u00f3n de datos sugiere la participaci\u00f3n de un grupo patrocinado por el estado, aunque la identidad exacta del equipo de pirater\u00eda sigue siendo indeterminada en esta etapa.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tr60percentstatic-inside-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683638133_693_Microsoft-advierte-sobre-ataques-patrocinados-por-el-estado-que-aprovechan.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Se sospecha que el vector de intrusi\u00f3n inicial para la campa\u00f1a es un correo electr\u00f3nico de phishing dirigido que contiene una carga \u00fatil con una trampa explosiva, que es un ejecutable del cargador que se hace pasar por un archivo de Microsoft Word.<\/p>\n<p>Al abrir el archivo adjunto, se extraen dos archivos, incluido un documento se\u00f1uelo que se muestra a la v\u00edctima mientras se ejecuta en segundo plano una aplicaci\u00f3n HTML maliciosa (.HTA) con c\u00f3digo VBScript incrustado.<\/p>\n<p>El archivo HTA, por su parte, est\u00e1 dise\u00f1ado para establecer contacto con un servidor remoto de comando y control (C2) para recuperar una carga \u00fatil de la siguiente etapa.  Si bien no se desconoce la naturaleza exacta del malware, se dice que es una puerta trasera para establecer la persistencia.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683729759_10_Sofisticada-campana-de-malware-DownEx-dirigida-a-los-gobiernos-de.png\" alt=\"Software malicioso DownEx\" border=\"0\" data-original-height=\"352\" data-original-width=\"728\" title=\"Software malicioso DownEx\"\/><\/div>\n<p>Los ataques tambi\u00e9n se destacan por emplear una variedad de herramientas personalizadas para llevar a cabo actividades posteriores a la explotaci\u00f3n.  Esto incluye &#8211;<\/p>\n<ul>\n<li>Dos binarios basados \u200b\u200ben C\/C++ (wnet.exe y utility.exe) para enumerar todos los recursos en una red,<\/li>\n<li>Una secuencia de comandos de Python (help.py) para establecer un ciclo de comunicaci\u00f3n infinito con el servidor C2 y recibir instrucciones para robar archivos con ciertas extensiones, eliminar archivos creados por otro malware y capturar capturas de pantalla, y<\/li>\n<li>Un malware basado en C++ (diagsvc.exe, tambi\u00e9n conocido como DownEx) que est\u00e1 dise\u00f1ado principalmente para filtrar archivos al servidor C2<\/li>\n<\/ul>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Tambi\u00e9n se han puesto a tierra otras dos variantes de DownEx, la primera de las cuales ejecuta un VBScript intermedio para recopilar y transmitir los archivos en forma de archivo ZIP.<\/p>\n<p>La otra versi\u00f3n, que se descarga a trav\u00e9s de un script VBE (slmgr.vbe) desde un servidor remoto, evita C++ para VBScript, pero conserva la misma funcionalidad que la anterior.<\/p>\n<p>&#8220;Este es un ataque sin archivos: el script de DownEx se ejecuta en la memoria y nunca toca el disco&#8221;, dijo Bitdefender.  &#8220;Este ataque destaca la sofisticaci\u00f3n de un ciberataque moderno. Los ciberdelincuentes est\u00e1n encontrando nuevos m\u00e9todos para hacer que sus ataques sean m\u00e1s confiables&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/sophisticated-downex-malware-campaign.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de mayo de 2023\ue804Ravie Lakshman\u00e1nMalware\/ataque cibern\u00e9tico Las organizaciones gubernamentales en Asia Central son el objetivo de una<\/p>\n","protected":false},"author":1,"featured_media":747373,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,14299,4661,3372,9632,4664,8317,161823,4662,12462,4668,4667,36,4669,4654,4658,4659,4653,4655,4663,4666,4665,99159,4660],"class_list":["post-747372","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-asia","tag-ataques-ciberneticos","tag-campana","tag-central","tag-como-hackear","tag-dirigida","tag-downex","tag-filtracion-de-datos","tag-gobiernos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sofisticada","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/747372","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=747372"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/747372\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/747373"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=747372"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=747372"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=747372"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}