{"id":757906,"date":"2023-05-16T21:13:33","date_gmt":"2023-05-16T21:13:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/copperstealer-malware-crew-resurge-con-nuevos-modulos-de-rootkit-y-phishing\/"},"modified":"2023-05-16T21:13:33","modified_gmt":"2023-05-16T21:13:33","slug":"copperstealer-malware-crew-resurge-con-nuevos-modulos-de-rootkit-y-phishing","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/copperstealer-malware-crew-resurge-con-nuevos-modulos-de-rootkit-y-phishing\/","title":{"rendered":"CopperStealer Malware Crew resurge con nuevos m\u00f3dulos de rootkit y phishing"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad en l\u00ednea\/Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjpD7j11l4yKKemXQYt4Q7kerLTirH3nXlMPg-7lMlyKvyi1p-6vNyj56KDbfPhTDUv-HkMaCZTHE4h8Oa56ntkFAd9oacPaqa1e1GsqxdSPnaI7eLd4TYoE98oCcuubCK8ncYKlpXBSElQjmnt29iVagbQpcxRTGd2Xb9xHaq05zQSsv3oKAfIecBE\/s728-e3650\/code.png\" alt=\"Malware de ladr\u00f3n de cobre\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Malware de ladr\u00f3n de cobre\"\/><\/div>\n<p>Los actores de amenazas detr\u00e1s del malware CopperStealer resurgieron con dos nuevas campa\u00f1as en marzo y abril de 2023 que est\u00e1n dise\u00f1adas para entregar dos cargas novedosas denominadas CopperStealth y CopperPhish.<\/p>\n<p>Trend Micro est\u00e1 rastreando al grupo motivado financieramente bajo el nombre <strong>ortro de agua<\/strong>.  El adversario tambi\u00e9n se eval\u00faa como <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/labs\/inside-scranos-a-cross-platform-rootkit-enabled-spyware-operation\/\" target=\"_blank\">detr\u00e1s<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/businessinsights\/scranos-rootkit-operation-turns-global-enterprises-to-improve-security-posture\/\" target=\"_blank\">otra campa\u00f1a<\/a> conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/labs\/scranos-revisited-rethinking-persistence-to-keep-established-network-alive\/\" target=\"_blank\">Scranos<\/a>que fue detallado por Bitdefender en 2019.<\/p>\n<p>Activo desde al menos 2021, Water Orthrus tiene un historial de aprovechamiento de las redes de pago por instalaci\u00f3n (PPI) para redirigir a las v\u00edctimas que aterrizan en <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/now-you-see-it-now-you-dont-copperstealer-performs-widespread-theft\" target=\"_blank\">agrietado<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/21\/c\/websites-hosting-cracks-spread-malware-adware.html\" target=\"_blank\">sitios de descarga de software<\/a> para dejar caer un ladr\u00f3n de informaci\u00f3n con nombre en c\u00f3digo <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/f\/websites-hosting-fake-cracks-spread-updated-copperstealer.html\" target=\"_blank\">Ladr\u00f3n de cobre<\/a>.<\/p>\n<p>Otra campa\u00f1a detectada en agosto de 2022 implic\u00f3 el uso de CopperStealer para distribuir <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/h\/copperstealer-distributes-malicious-chromium-browser-extension-steal-cryptocurrencies.html\" target=\"_blank\">Extensiones de navegador web basadas en Chromium<\/a> que son capaces de realizar transacciones no autorizadas y transferir criptomonedas de las billeteras de las v\u00edctimas a las que est\u00e1n bajo el control de los atacantes.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tr60percentstatic-inside-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1682966412_237_APT28-apunta-a-entidades-gubernamentales-ucranianas-con-falsificaciones-quotactualizacion-de.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Las \u00faltimas secuencias de ataque documentadas por Trend Micro no marcan una gran desviaci\u00f3n, propagando CopperStealth empaquet\u00e1ndolo como instaladores para herramientas gratuitas en <a rel=\"nofollow noopener\" href=\"https:\/\/www.secrss.com\/articles\/14659\" target=\"_blank\">Sitios web chinos para compartir software<\/a>. <\/p>\n<p>&#8220;La cadena de infecci\u00f3n de CopperStealth implica soltar y cargar un rootkit, que luego inyecta su carga \u00fatil en explorer.exe y otro proceso del sistema&#8221;, los investigadores de seguridad Jaromir Horejsi y Joseph C Chen <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/e\/water-orthrus-new-campaigns-deliver-rootkit-and-phishing-modules.html\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico.<\/p>\n<p>&#8220;Estas cargas \u00fatiles son responsables de descargar y ejecutar tareas adicionales. El rootkit tambi\u00e9n bloquea el acceso a las claves de registro bloqueadas y evita que se ejecuten ciertos ejecutables y controladores&#8221;.<\/p>\n<p>La lista de denegaci\u00f3n de controladores contiene secuencias de bytes pertenecientes a empresas chinas de software de seguridad como Huorong, Kingsoft y Qihoo 360.<\/p>\n<p>CopperStealth tambi\u00e9n incorpora un m\u00f3dulo de tareas que le permite llamar a un servidor remoto y recuperar el comando que se ejecutar\u00e1 en la m\u00e1quina infectada, equipando al malware para que suelte m\u00e1s cargas \u00fatiles.<\/p>\n<h2 style=\"text-align: left;\">Los sitios web para compartir archivos act\u00faan como conducto para el kit de phishing CopperPhish<\/h2>\n<p>La campa\u00f1a CopperPhish, detectada en todo el mundo en abril de 2023, aprovecha un proceso an\u00e1logo para implementar el malware a trav\u00e9s de redes PPI detr\u00e1s de sitios web an\u00f3nimos gratuitos para compartir archivos.<\/p>\n<p>&#8220;Los visitantes ser\u00e1n redirigidos a una p\u00e1gina de descarga dise\u00f1ada por la red PPI despu\u00e9s de hacer clic en sus anuncios, que pretend\u00edan ser un enlace de descarga&#8221;, dijeron los investigadores.  &#8220;El archivo descargado es PrivateLoader, que descarga y ejecuta muchos programas maliciosos diferentes&#8221;.<\/p>\n<p>El servicio de descarga, que tambi\u00e9n se ofrece en forma de PPI, se usa luego para recuperar e iniciar CopperPhish, un kit de phishing que es responsable de recolectar informaci\u00f3n de tarjetas de cr\u00e9dito.<\/p>\n<p>Esto lo logra &#8220;comenzando un <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/rundll32-the-infamous-proxy-for-executing-malicious-code\" target=\"_blank\">proceso rundll32<\/a> e inyectando un programa simple con una ventana del navegador (escrito en Visual Basic)&#8221;, que carga una p\u00e1gina de phishing que insta a las v\u00edctimas a escanear un c\u00f3digo QR para verificar su identidad e ingresar un c\u00f3digo de confirmaci\u00f3n para &#8220;restaurar la red de su dispositivo&#8221;.<\/p>\n<p>&#8220;La ventana no tiene controles que puedan usarse para minimizarla o cerrarla&#8221;, explicaron los investigadores.  &#8220;La v\u00edctima podr\u00eda cerrar el proceso del navegador en el Administrador de tareas o en el Explorador de procesos, pero tambi\u00e9n tendr\u00eda que terminar el proceso de carga \u00fatil principal; de lo contrario, el proceso del navegador volver\u00e1 a ocurrir debido al subproceso de persistencia&#8221;.<\/p>\n<p>Una vez que se ingresan los detalles confidenciales en la p\u00e1gina, el malware CopperPhish muestra el mensaje &#8220;la verificaci\u00f3n de identidad ha pasado&#8221; junto con un c\u00f3digo de confirmaci\u00f3n que la v\u00edctima puede ingresar en la pantalla antes mencionada.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Proporcionar el c\u00f3digo de confirmaci\u00f3n correcto tambi\u00e9n hace que el malware se desinstale y elimine todos los archivos de phishing ca\u00eddos de la m\u00e1quina.<\/p>\n<p>&#8220;La verificaci\u00f3n de credenciales y el c\u00f3digo de confirmaci\u00f3n son dos caracter\u00edsticas \u00fatiles que hacen que este kit de phishing sea m\u00e1s exitoso, ya que la v\u00edctima no puede simplemente cerrar la ventana o ingresar informaci\u00f3n falsa solo para deshacerse de la ventana&#8221;, dijeron los investigadores.<\/p>\n<p>La atribuci\u00f3n a Water Orthrus se basa en el hecho de que tanto CopperStealth como CopperPhish comparten caracter\u00edsticas de c\u00f3digo fuente similares a las de CopperStealer, lo que plantea la posibilidad de que las tres cepas hayan sido desarrolladas por el mismo autor.<\/p>\n<p>Los objetivos dispares de las campa\u00f1as representan la evoluci\u00f3n de las t\u00e1cticas del actor de amenazas, lo que indica un intento de agregar nuevas capacidades a su arsenal y expandir sus horizontes financieros.<\/p>\n<p>Los hallazgos vienen como <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/e\/malicious-ai-tool-ads-used-to-deliver-redline-stealer.html\" target=\"_blank\">anuncios maliciosos de Google<\/a> se est\u00e1n utilizando para atraer a los usuarios a que descarguen instaladores falsos para herramientas de inteligencia artificial como Midjourney y ChatGPT de OpenAI que, en \u00faltima instancia, eliminan a los ladrones como Vidar y RedLine.<\/p>\n<p>Tambi\u00e9n siguen al descubrimiento de un nuevo servicio de monetizaci\u00f3n del tr\u00e1fico llamado <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/d\/attackers-use-containers-for-profit-via-trafficstealer.html\" target=\"_blank\">Ladr\u00f3n de tr\u00e1fico<\/a> que aprovecha los contenedores de configuraciones incorrectas para redirigir el tr\u00e1fico a los sitios web y generar clics de anuncios falsos como parte de un esquema il\u00edcito de obtenci\u00f3n de dinero.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/water-orthrus-copperstealer-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 de mayo de 2023\ue804Ravie Lakshman\u00e1nSeguridad en l\u00ednea\/Malware Los actores de amenazas detr\u00e1s del malware CopperStealer resurgieron con<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,99,163066,38422,4662,4668,4667,4669,119451,4654,4658,4659,4653,4655,2431,8178,4663,55389,30407,4666,4665,4660],"class_list":["post-757906","post","type-post","status-publish","format-standard","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-copperstealer","tag-crew","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-modulos","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevos","tag-phishing","tag-programa-malicioso-ransomware","tag-resurge","tag-rootkit","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/757906","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=757906"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/757906\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=757906"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=757906"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=757906"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}