{"id":756861,"date":"2023-05-16T08:29:31","date_gmt":"2023-05-16T08:29:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-utilizan-la-variante-golang-de-cobalt-strike-para-atacar-los-sistemas-apple-macos\/"},"modified":"2023-05-16T08:29:35","modified_gmt":"2023-05-16T08:29:35","slug":"los-piratas-informaticos-utilizan-la-variante-golang-de-cobalt-strike-para-atacar-los-sistemas-apple-macos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-utilizan-la-variante-golang-de-cobalt-strike-para-atacar-los-sistemas-apple-macos\/","title":{"rendered":"Los piratas inform\u00e1ticos utilizan la variante Golang de Cobalt Strike para atacar los sistemas Apple macOS"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de mayo de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad de punto final\/amenaza cibern\u00e9tica<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Es probable que una implementaci\u00f3n de Golang de Cobalt Strike llamada Geacon atraiga la atenci\u00f3n de los actores de amenazas que buscan apuntar a los sistemas macOS de Apple.<\/p>\n

Los hallazgos provienen de SentinelOne, que observ\u00f3 un aumento en la cantidad de cargas \u00fatiles de Geacon que aparecen en VirusTotal en los \u00faltimos meses.<\/p>\n

“Si bien algunas de estas son probablemente operaciones de equipo rojo, otras tienen las caracter\u00edsticas de ataques maliciosos genuinos”, dijeron los investigadores de seguridad Phil Stokes y Dinesh Devadoss. dicho<\/a> en un informe<\/p>\n

Cobalt Strike es una conocida herramienta de simulaci\u00f3n de equipos rojos y adversarios desarrollada por Fortra. Debido a sus innumerables capacidades posteriores a la explotaci\u00f3n, los actores de amenazas han abusado de las versiones pirateadas ilegalmente del software a lo largo de los a\u00f1os.<\/p>\n

Si bien la actividad posterior a la explotaci\u00f3n asociada con Cobalt Strike se ha centrado principalmente en Windows, tales ataques contra macOS son algo raros.<\/p>\n

\"La<\/a><\/center><\/div>\n

En mayo de 2022, la empresa de cadena de suministro de software Sonatype revelado<\/a> detalles de un paquete falso de Python llamado “pymafka<\/a>” que fue dise\u00f1ado para lanzar un Cobalt Strike Beacon en hosts Windows, macOS y Linux comprometidos.<\/p>\n

Sin embargo, eso puede cambiar con la aparici\u00f3n de artefactos Geacon en la naturaleza. Geacon es una variante Go de Cobalt Strike que ha sido disponible en GitHub<\/a> desde febrero de 2020.<\/p>\n

Un an\u00e1lisis adicional de dos nuevas muestras de VirusTotal que se cargaron en abril de 2023 ha rastreado sus or\u00edgenes en dos variantes de Geacon (geacon_plus<\/a> y geacon_pro<\/a>) que fueron desarrollados a fines de octubre por dos desarrolladores chinos an\u00f3nimos z3ratu1 y H4de5.<\/p>\n

Ya no se puede acceder al proyecto geacon_pro en GitHub, pero una instant\u00e1nea de Internet Archive capturada el 6 de marzo de 2023 revela su capacidad para eludir motores antivirus como Microsoft Defender, Kaspersky y Qihoo 360 360 Core Crystal.<\/p>\n

\"Golpe<\/div>\n

H4de5, el desarrollador detr\u00e1s de geacon_pro, afirma que la herramienta est\u00e1 dise\u00f1ada principalmente para admitir las versiones 4.1 y posteriores de CobaltStrike, mientras que geacon_plus admite la versi\u00f3n 4.0 de CobaltStrike. El versi\u00f3n actual<\/a> del software es 4.8.<\/p>\n

Resume_20230320.app de Xu Yiqing, uno de los artefactos descubiertos por SentinelOne, emplea un AppleScript de solo ejecuci\u00f3n<\/a> para comunicarse con un servidor remoto y descargar una carga \u00fatil de Geacon. Es compatible con las arquitecturas de silicio de Apple e Intel.<\/p>\n

“El no firmado Carga \u00fatil de Geacon<\/a> se recupera de una direcci\u00f3n IP en China\u201d, dijeron los investigadores. \u201cAntes de que comience su actividad de se\u00f1alizaci\u00f3n, se le presenta al usuario un documento se\u00f1uelo de dos p\u00e1ginas incrustado en el binario Geacon. Se abre un PDF que muestra el curr\u00edculum de una persona llamada ‘Xu Yiqing'”.<\/p>\n

El binario de Geacon, compilado a partir del c\u00f3digo fuente de geacon_plus, incluye una multitud de funciones que le permiten descargar cargas \u00fatiles de pr\u00f3xima etapa y filtrar datos, y facilitar las comunicaciones de red.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n

\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

La segunda muestra, seg\u00fan la empresa de ciberseguridad, est\u00e1 integrada en una aplicaci\u00f3n troyana que se hace pasar por la aplicaci\u00f3n de soporte remoto SecureLink (SecureLink.app) y se dirige principalmente a dispositivos Intel.<\/p>\n

Los barebones, solicitudes de aplicaciones no firmadas para el permiso de los usuarios para acceder a contactos, fotos, recordatorios, as\u00ed como a la c\u00e1mara y el micr\u00f3fono del dispositivo. Su principal componente es un Carga \u00fatil de Geacon<\/a> construido a partir del proyecto geacon_pro que se conecta a un conocido servidor de comando y control (C2) en Jap\u00f3n.<\/p>\n

El desarrollo llega cuando el ecosistema macOS est\u00e1 ser<\/a> apuntados por una amplia variedad de actores de amenazas, incluidos grupos patrocinados por el estado, para desplegar puertas traseras y ladrones de informaci\u00f3n.<\/p>\n

“El aumento en las muestras de Geacon en los \u00faltimos meses sugiere que los equipos de seguridad deber\u00edan prestar atenci\u00f3n a esta herramienta y asegurarse de que cuentan con protecciones”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n