{"id":751743,"date":"2023-05-12T22:38:38","date_gmt":"2023-05-12T22:38:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-xworm-aprovecha-la-vulnerabilidad-de-follina-en-una-nueva-ola-de-ataques\/"},"modified":"2023-05-12T22:38:41","modified_gmt":"2023-05-12T22:38:41","slug":"el-malware-xworm-aprovecha-la-vulnerabilidad-de-follina-en-una-nueva-ola-de-ataques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-xworm-aprovecha-la-vulnerabilidad-de-follina-en-una-nueva-ola-de-ataques\/","title":{"rendered":"El malware XWorm aprovecha la vulnerabilidad de Follina en una nueva ola de ataques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Amenaza Cibern\u00e9tica \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los investigadores de seguridad cibern\u00e9tica han descubierto una campa\u00f1a de phishing en curso que utiliza una cadena de ataque \u00fanica para entregar el malware XWorm en los sistemas objetivo.<\/p>\n<p>Securonix, que est\u00e1 rastreando el grupo de actividad bajo el nombre <strong>MEME#4CHAN<\/strong>dijo que algunos de los ataques se han dirigido principalmente a empresas manufactureras y cl\u00ednicas de atenci\u00f3n m\u00e9dica ubicadas en Alemania.<\/p>\n<p>&#8220;La campa\u00f1a de ataque ha estado aprovechando un c\u00f3digo PowerShell lleno de memes bastante inusual, seguido de una carga XWorm muy ofuscada para infectar a sus v\u00edctimas&#8221;, dijeron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un nuevo an\u00e1lisis compartido con The Hacker News.<\/p>\n<p>El informe se basa <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/attack-chain-leads-to-xworm-and-agenttesla\" target=\"_blank\">hallazgos recientes<\/a> de Elastic Security Labs, que revel\u00f3 los se\u00f1uelos tem\u00e1ticos de reserva del actor de amenazas para enga\u00f1ar a las v\u00edctimas para que abran documentos maliciosos capaces de entregar cargas \u00fatiles de XWorm y Agent Tesla.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tr60percentstatic-inside-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1682966412_237_APT28-apunta-a-entidades-gubernamentales-ucranianas-con-falsificaciones-quotactualizacion-de.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los ataques comienzan con ataques de phishing para distribuir documentos se\u00f1uelo de Microsoft Word que, en lugar de usar macros, utilizan la vulnerabilidad de Follina (CVE-2022-30190, puntuaci\u00f3n CVSS: 7.8) como arma para colocar un script ofuscado de PowerShell.<\/p>\n<p>A partir de ah\u00ed, los actores de amenazas abusan del script de PowerShell para eludir la interfaz de an\u00e1lisis antimalware (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/amsi\/antimalware-scan-interface-portal\" target=\"_blank\">AARMI<\/a>), deshabilite Microsoft Defender, establezca la persistencia y, en \u00faltima instancia, inicie el binario .NET que contiene XWorm.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683931118_322_El-malware-XWorm-aprovecha-la-vulnerabilidad-de-Follina-en-una.png\" alt=\"Malware XWorm\" border=\"0\" data-original-height=\"453\" data-original-width=\"728\" title=\"Malware XWorm\"\/><\/div>\n<p>Curiosamente, una de las variables en el script de PowerShell se llama &#8220;$CHOTAbheem&#8221;, que probablemente sea una referencia a <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Chhota_Bheem\" target=\"_blank\"><em>Chhota Bheem<\/em><\/a>una serie de televisi\u00f3n de aventuras de comedia animada india.<\/p>\n<p>&#8220;Seg\u00fan una verificaci\u00f3n r\u00e1pida, parece que el individuo o el grupo responsable del ataque podr\u00eda tener antecedentes en el Medio Oriente o la India, aunque la atribuci\u00f3n final a\u00fan no ha sido confirmada&#8221;, dijeron los investigadores a The Hacker News, se\u00f1alando que tales palabras clave tambi\u00e9n puede servir como funda.<\/p>\n<p>XWorm es un <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2022\/08\/19\/evilcoder-project-selling-multiple-dangerous-tools-online\/\" target=\"_blank\">software malicioso de productos b\u00e1sicos<\/a> que se anuncia a la venta en foros clandestinos y viene con una amplia gama de funciones que le permiten desviar informaci\u00f3n confidencial de los hosts infectados.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>El malware tambi\u00e9n es una navaja suiza, ya que puede realizar operaciones de clipper, DDoS y ransomware, propagarse a trav\u00e9s de USB y soltar malware adicional.<\/p>\n<p>Los or\u00edgenes exactos del actor de amenazas no est\u00e1n claros actualmente, aunque Securonix dijo que la metodolog\u00eda de ataque comparte artefactos similares a los de TA558, que se ha observado en la industria hotelera en el pasado.<\/p>\n<p>&#8220;Aunque los correos electr\u00f3nicos de phishing rara vez usan documentos de Microsoft Office desde que Microsoft tom\u00f3 la decisi\u00f3n de deshabilitar las macros de forma predeterminada, hoy vemos pruebas de que a\u00fan es importante estar atento a los archivos de documentos maliciosos, especialmente en este caso donde no hubo ejecuci\u00f3n de VBscript desde macros&#8221;, dijeron los investigadores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/xworm-malware-exploits-follina.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 de mayo de 2023\ue804Ravie Lakshman\u00e1nAmenaza Cibern\u00e9tica \/ Malware Los investigadores de seguridad cibern\u00e9tica han descubierto una campa\u00f1a<\/p>\n","protected":false},"author":1,"featured_media":751744,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6132,2346,4661,4664,4662,74504,4668,4667,4669,4654,4658,4659,4653,4655,212,4024,4663,4666,4665,158,4014,4660,162337],"class_list":["post-751743","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovecha","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-filtracion-de-datos","tag-follina","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-ola","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-vulnerabilidad","tag-vulnerabilidad-de-software","tag-xworm"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/751743","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=751743"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/751743\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/751744"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=751743"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=751743"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=751743"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}