{"id":783537,"date":"2023-06-01T12:20:18","date_gmt":"2023-06-01T12:20:18","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-norcoreanos-de-scarcruft-aprovechan-los-archivos-lnk-para-propagar-rokrat\/"},"modified":"2023-06-01T12:20:21","modified_gmt":"2023-06-01T12:20:21","slug":"los-piratas-informaticos-norcoreanos-de-scarcruft-aprovechan-los-archivos-lnk-para-propagar-rokrat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-norcoreanos-de-scarcruft-aprovechan-los-archivos-lnk-para-propagar-rokrat\/","title":{"rendered":"Los piratas inform\u00e1ticos norcoreanos de ScarCruft aprovechan los archivos LNK para propagar RokRAT"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>01 de junio de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Amenaza Cibern\u00e9tica \/ Malware<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los investigadores de seguridad cibern\u00e9tica han ofrecido una mirada m\u00e1s cercana al troyano de acceso remoto RokRAT que es empleado por el actor patrocinado por el estado de Corea del Norte conocido como ScarCruft<\/strong>.<\/p>\n

“RokRAT es un troyano de acceso remoto (RAT) sofisticado que se ha observado como un componente cr\u00edtico dentro de la cadena de ataque, lo que permite a los actores de amenazas obtener acceso no autorizado, filtrar informaci\u00f3n confidencial y potencialmente mantener un control persistente sobre los sistemas comprometidos”, ThreatMon dicho<\/a>.<\/p>\n

ScarCruft, activo desde al menos 2012, es un grupo de espionaje cibern\u00e9tico que opera en nombre del gobierno de Corea del Norte, centr\u00e1ndose exclusivamente en objetivos en su contraparte del sur.<\/p>\n

Se cree que el grupo es un elemento subordinado dentro del Ministerio de Seguridad del Estado (MSS) de Corea del Norte. Las cadenas de ataque montadas por el grupo se han apoyado en gran medida en la ingenier\u00eda social para atacar a las v\u00edctimas con phishing y entregar cargas \u00fatiles en las redes de destino.<\/p>\n

Esto incluye la explotaci\u00f3n de vulnerabilidades en el procesador de textos Hangul (HWP) de Hancom, un software de productividad ampliamente utilizado por organizaciones p\u00fablicas y privadas en Corea del Sur, para entregar su malware caracter\u00edstico denominado RokRAT.<\/p>\n

\"RokRAT\"<\/div>\n

La puerta trasera de Windows, tambi\u00e9n llamada DOGCALL, se desarrolla y mantiene activamente, y desde entonces se ha portado a otros sistemas operativos como macOS y Android.<\/p>\n

Los recientes ataques de phishing selectivo, como lo demuestra el Centro de respuesta a emergencias de seguridad AhnLab (ASEC) y Check Point, han utilizado archivos LNK para desencadenar secuencias de infecci\u00f3n en varias etapas que eventualmente resultan en la implementaci\u00f3n del malware RokRAT.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span> <\/p>\n

\ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n

Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n

\u00danase a la sesi\u00f3n<\/a><\/div>\n

RokRAT le permite al adversario recolectar metadatos del sistema, tomar capturas de pantalla, ejecutar comandos arbitrarios recibidos de un servidor remoto, enumerar directorios y filtrar archivos de inter\u00e9s.<\/p>\n

El desarrollo llega como ASEC revelado<\/a> un ataque de ScarCruft que aprovecha un ejecutable de Windows disfrazado de documento Hangul para lanzar malware que est\u00e1 configurado para contactar una URL externa cada 60 minutos.<\/p>\n

“La URL registrada en el programador de tareas parece ser una p\u00e1gina de inicio normal, pero contiene un shell web”, se\u00f1al\u00f3 ASEC.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n