{"id":792250,"date":"2023-06-06T20:21:58","date_gmt":"2023-06-06T20:21:58","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-campana-de-malware-que-aprovecha-satacom-downloader-para-robar-criptomonedas\/"},"modified":"2023-06-06T20:22:02","modified_gmt":"2023-06-06T20:22:02","slug":"nueva-campana-de-malware-que-aprovecha-satacom-downloader-para-robar-criptomonedas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-campana-de-malware-que-aprovecha-satacom-downloader-para-robar-criptomonedas\/","title":{"rendered":"Nueva campa\u00f1a de malware que aprovecha Satacom Downloader para robar criptomonedas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Criptomoneda \/ Ciberamenaza<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se descubri\u00f3 que una campa\u00f1a de malware reciente aprovecha <strong>Descargador de Satacom<\/strong> como conducto para implementar malware sigiloso capaz de desviar criptomonedas utilizando una extensi\u00f3n no autorizada para navegadores basados \u200b\u200ben Chromium.<\/p>\n<p>&#8220;El objetivo principal del malware que lanza el descargador de Satacom es robar BTC de la cuenta de la v\u00edctima mediante la realizaci\u00f3n de inyecciones web en sitios web espec\u00edficos de criptomonedas&#8221;, los investigadores de Kaspersky Haim Zigel y Oleg Kupreev. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/satacom-delivers-cryptocurrency-stealing-browser-extension\/109807\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Los objetivos de la campa\u00f1a incluyen usuarios de Coinbase, Bybit, KuCoin, Huobi y Binance ubicados principalmente en Brasil, Argelia, Turqu\u00eda, Vietnam, Indonesia, India, Egipto y M\u00e9xico.<\/p>\n<p>Descargador de Satacom, tambi\u00e9n llamado <a rel=\"nofollow noopener\" href=\"https:\/\/www.deepinstinct.com\/blog\/untangling-legion-loaders-hornet-nest-of-malware\" target=\"_blank\">Cargador de legi\u00f3n<\/a>surgi\u00f3 por primera vez en 2019 como cuentagotas para las cargas \u00fatiles de la pr\u00f3xima etapa, incluidos los ladrones de informaci\u00f3n y los mineros de criptomonedas.<\/p>\n<p>Las cadenas de infecci\u00f3n que involucran el malware comienzan cuando los usuarios que buscan software descifrado son redirigidos a sitios web falsos que alojan archivos ZIP que contienen el malware.<\/p>\n<p>&#8220;Se utilizan varios tipos de sitios web para propagar el malware&#8221;, explicaron los investigadores.  &#8220;Algunos de ellos son sitios web maliciosos con un enlace de descarga codificado, mientras que otros tienen el bot\u00f3n &#8216;Descargar&#8217; inyectado a trav\u00e9s de un complemento publicitario leg\u00edtimo&#8221;.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Nueva-campana-de-malware-que-aprovecha-Satacom-Downloader-para-robar.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Presente dentro del archivo de almacenamiento hay un ejecutable llamado &#8220;Setup.exe&#8221; que tiene un tama\u00f1o de aproximadamente 5 MB pero se infla a aproximadamente 450 MB con bytes nulos en un intento de evadir el an\u00e1lisis y la detecci\u00f3n.<\/p>\n<p>Lanzar el binario inicia la rutina del malware, que culmina con la ejecuci\u00f3n del programa de descarga de Satacom que, a su vez, utiliza solicitudes de DNS como un m\u00e9todo de comando y control (C2) para obtener la URL que aloja el malware real.<\/p>\n<p>La campa\u00f1a documentada por Kaspersky conduce a un script de PowerShell, que descarga el complemento del navegador desde un servidor remoto de terceros.  Tambi\u00e9n busca archivos de acceso directo del navegador (.LNK) en el host comprometido y modifica el par\u00e1metro &#8220;Objetivo&#8221; con el indicador &#8220;&#8211;load-extension&#8221; para iniciar el navegador con la extensi\u00f3n descargada.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1686082918_784_Nueva-campana-de-malware-que-aprovecha-Satacom-Downloader-para-robar.jpg\" alt=\"Malware de criptomonedas\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"Malware de criptomonedas\"\/><\/div>\n<p>Adem\u00e1s, el complemento se hace pasar por una extensi\u00f3n de Google Drive y emplea inyecciones web enviadas por el servidor C2 cuando la v\u00edctima visita uno de los sitios web de criptomonedas objetivo para manipular el contenido y robar criptomonedas.<\/p>\n<p>La direcci\u00f3n C2 est\u00e1 oculta dentro de los campos script y addr de la transacci\u00f3n de bitcoin m\u00e1s reciente asociada con un <a rel=\"nofollow noopener\" href=\"https:\/\/blockchain.info\/address\/bc1qtms60m4fxhp5v229kfxwd3xruu48c4a0tqwafu\" target=\"_blank\">direcci\u00f3n de billetera controlada por el actor<\/a>empleando la misma t\u00e9cnica que el malware de botnet Glupteba para sortear bloqueos o desmantelamiento de dominios.<\/p>\n<p>&#8220;La extensi\u00f3n realiza varias acciones en la cuenta para controlarla de forma remota utilizando los scripts de inyecci\u00f3n web y, finalmente, la extensi\u00f3n intenta retirar la moneda BTC a la billetera de los actores de amenazas&#8221;, dijeron los investigadores.<\/p>\n<p>En un intento adicional de ocultar su actividad, la extensi\u00f3n maliciosa contiene secuencias de comandos para ocultar la confirmaci\u00f3n por correo electr\u00f3nico de la transacci\u00f3n fraudulenta en Gmail, Hotmail y Yahoo!  servicios mediante una inyecci\u00f3n de c\u00f3digo HTML.<\/p>\n<div class=\"ad_two_webinar clear\"> <span class=\"ad-label\">PR\u00d3XIMO SEMINARIO WEB<\/span> <\/p>\n<p>\ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n<p class=\"ad-description\">Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p> <a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"ad-button\">\u00danase a la sesi\u00f3n<\/a><\/div>\n<p>Una consecuencia de esta inyecci\u00f3n es que la v\u00edctima desconoce que se realiz\u00f3 una transferencia il\u00edcita a la billetera de los actores de la amenaza.  Otro aspecto notable del complemento es su capacidad para extraer metadatos del sistema, cookies, historial del navegador, capturas de pantalla de pesta\u00f1as abiertas e incluso recibir comandos del servidor C2.<\/p>\n<p>&#8220;La extensi\u00f3n puede actualizar su funcionalidad debido a la t\u00e9cnica utilizada para recuperar el servidor C2 a trav\u00e9s de la \u00faltima transacci\u00f3n de una billetera BTC espec\u00edfica, que puede modificarse en cualquier momento al realizar otra transacci\u00f3n en esta billetera&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Esto permite a los actores de amenazas cambiar la URL del dominio a una diferente en caso de que los proveedores de antivirus lo proh\u00edban o lo bloqueen&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1686082918_335_Nueva-campana-de-malware-que-aprovecha-Satacom-Downloader-para-robar.jpg\" alt=\"extensiones trampa\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"extensiones trampa\"\/><\/div>\n<p>El desarrollo viene como <a rel=\"nofollow noopener\" href=\"https:\/\/palant.info\/2023\/05\/31\/more-malicious-extensions-in-chrome-web-store\/\" target=\"_blank\">varios<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/blog.avast.com\/malicious-extensions-chrome-web-store\" target=\"_blank\">extensiones trampa<\/a> Se han descubierto utilidades que se hacen pasar por leg\u00edtimas en Chrome Web Store con capacidades para difundir adware y secuestrar resultados de b\u00fasqueda para mostrar enlaces patrocinados, resultados de b\u00fasqueda pagados y enlaces potencialmente maliciosos.<\/p>\n<p>Las extensiones, aunque ofrec\u00edan las funciones prometidas, conten\u00edan un c\u00f3digo ofuscado que permit\u00eda que un sitio web de terceros inyectara c\u00f3digo JavaScript arbitrario en todos los sitios web que un usuario visitaba sin su conocimiento.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/new-malware-campaign-leveraging-satacom.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 de junio de 2023\ue804Ravie Lakshman\u00e1nCriptomoneda \/ Ciberamenaza Se descubri\u00f3 que una campa\u00f1a de malware reciente aprovecha Descargador<\/p>\n","protected":false},"author":1,"featured_media":792251,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6132,4661,3372,4664,1868,167099,4662,4668,4667,4669,4654,4658,4659,4653,4655,212,18,4663,26365,167098,4666,4665,4660],"class_list":["post-792250","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovecha","tag-ataques-ciberneticos","tag-campana","tag-como-hackear","tag-criptomonedas","tag-downloader","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-para","tag-programa-malicioso-ransomware","tag-robar","tag-satacom","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/792250","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=792250"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/792250\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/792251"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=792250"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=792250"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=792250"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}