{"id":806672,"date":"2023-06-15T13:51:37","date_gmt":"2023-06-15T13:51:37","guid":{"rendered":"https:\/\/teknomers.com\/es\/vidar-malware-utiliza-nuevas-tacticas-para-evadir-la-deteccion-y-anonimizar-actividades\/"},"modified":"2023-06-15T13:51:42","modified_gmt":"2023-06-15T13:51:42","slug":"vidar-malware-utiliza-nuevas-tacticas-para-evadir-la-deteccion-y-anonimizar-actividades","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/vidar-malware-utiliza-nuevas-tacticas-para-evadir-la-deteccion-y-anonimizar-actividades\/","title":{"rendered":"Vidar Malware utiliza nuevas t\u00e1cticas para evadir la detecci\u00f3n y anonimizar actividades"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>15 de junio de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Malware \/ Ciberamenaza<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los actores de amenazas detr\u00e1s de la Programa malicioso de Vidar<\/strong> han realizado cambios en su infraestructura de back-end, lo que indica intentos de reorganizar y ocultar su rastro en l\u00ednea en respuesta a las divulgaciones p\u00fablicas sobre su modus operandi.<\/p>\n

“Los actores de amenazas de Vidar contin\u00faan rotando su infraestructura IP de back-end, favoreciendo a los proveedores en Moldavia y Rusia”, dijo la compa\u00f1\u00eda de ciberseguridad Team Cymru en un nuevo an\u00e1lisis compartido con The Hacker News.<\/p>\n

Vidar es un ladr\u00f3n de informaci\u00f3n comercial que se sabe que est\u00e1 activo desde finales de 2018. Tambi\u00e9n es una bifurcaci\u00f3n de otro malware ladr\u00f3n llamado Arkei y se ofrece a la venta entre $130 y $750 dependiendo del nivel de suscripci\u00f3n.<\/p>\n

Normalmente entregado a trav\u00e9s de campa\u00f1as de phishing y sitios que anuncian software descifrado, el malware viene con una amplia gama de capacidades para recopilar informaci\u00f3n confidencial de hosts infectados. Tambi\u00e9n se ha observado que Vidar se distribuye a trav\u00e9s de anuncios falsos de Google y un cargador de malware denominado Bumblebee.<\/p>\n

\"La<\/a><\/center><\/div>\n

Equipo Cymru, en un informe<\/a> publicado a principios de enero, se\u00f1al\u00f3 que “los operadores de Vidar han dividido su infraestructura en dos partes: una dedicada a sus clientes habituales y la otra para el equipo de gesti\u00f3n, y tambi\u00e9n para usuarios potencialmente premium\/importantes”.<\/p>\n

Un dominio clave utilizado por los actores de Vidar es my-odin[.]com, que sirve como destino \u00fanico para administrar el panel, autenticar afiliados y compartir archivos.<\/p>\n

\"Software<\/div>\n

Si bien anteriormente era posible descargar archivos del sitio sin ninguna autenticaci\u00f3n, realizar la misma acci\u00f3n ahora redirige al usuario a una p\u00e1gina de inicio de sesi\u00f3n. Otro cambio implica actualizaciones de la direcci\u00f3n IP que aloja el propio dominio.<\/p>\n

Esto incluye pasar de 186.2.166[.]15 al 5.252.179[.]201 al 5.252.176[.]49 a fines de marzo de 2023, y los actores de amenazas accedieron a este \u00faltimo utilizando servidores VPN casi al mismo tiempo.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

\ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n

Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n

\u00danase a la sesi\u00f3n<\/a><\/div>\n

“Al usar la infraestructura de VPN, que al menos en parte tambi\u00e9n fue utilizada por muchos otros usuarios benignos, es evidente que los actores de amenazas de Vidar pueden estar tomando medidas para anonimizar sus actividades de gesti\u00f3n ocult\u00e1ndose en el ruido general de Internet”, se\u00f1al\u00f3 Team Cymru.<\/p>\n

La empresa de ciberseguridad dijo que tambi\u00e9n detect\u00f3 conexiones salientes desde 5.252.176[.]49 a un sitio web leg\u00edtimo llamado blonk[.]co as\u00ed como un anfitri\u00f3n ubicado en Rusia (185.173.93[.]98:443).<\/p>\n

Se descubri\u00f3 que la infraestructura de Vidar recibi\u00f3 otro lavado de cara a partir del 3 de mayo de 2023, con la introducci\u00f3n de una nueva direcci\u00f3n IP 185.229.64[.]137 alojando el my-odin[.]com junto con el uso de rel\u00e9s TOR por parte de los operadores para acceder a sus cuentas y repositorios de malware.<\/p>\n

Los hallazgos “ofrecen una mayor comprensi\u00f3n de la operaci\u00f3n ‘detr\u00e1s de escena’ de Vidar, lo que demuestra la evoluci\u00f3n de su infraestructura de gesti\u00f3n, as\u00ed como evidencia de los pasos tomados por los actores de amenazas para potencialmente cubrir sus huellas”, dijo la compa\u00f1\u00eda.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n