{"id":815107,"date":"2023-06-20T19:01:36","date_gmt":"2023-06-20T19:01:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-expertos-descubren-un-ataque-cibernetico-de-un-ano-contra-una-empresa-de-ti-que-utiliza-malware-personalizado-rdstealer\/"},"modified":"2023-06-20T19:01:40","modified_gmt":"2023-06-20T19:01:40","slug":"los-expertos-descubren-un-ataque-cibernetico-de-un-ano-contra-una-empresa-de-ti-que-utiliza-malware-personalizado-rdstealer","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-expertos-descubren-un-ataque-cibernetico-de-un-ano-contra-una-empresa-de-ti-que-utiliza-malware-personalizado-rdstealer\/","title":{"rendered":"Los expertos descubren un ataque cibern\u00e9tico de un a\u00f1o contra una empresa de TI que utiliza malware personalizado RDStealer"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">20 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un ataque cibern\u00e9tico altamente dirigido contra una empresa de TI de Asia oriental involucr\u00f3 el despliegue de un malware personalizado escrito en Golang llamado <strong>RDStealer<\/strong>.<\/p>\n<p>&#8220;La operaci\u00f3n estuvo activa durante m\u00e1s de un a\u00f1o con el objetivo final de comprometer las credenciales y la exfiltraci\u00f3n de datos&#8221;, dijo el investigador de seguridad de Bitdefender, Victor Vrabie. <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/labs\/exposing-rdstealerdeep-dive-into-a-targetedcyber-attack-against-east-asiainfrastructure\/\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico compartido con The Hacker News.<\/p>\n<p>La evidencia recopilada por la empresa de ciberseguridad rumana muestra que la campa\u00f1a comenz\u00f3 a principios de 2022. El objetivo era una empresa de TI no especificada ubicada en el este de Asia.<\/p>\n<p>En las primeras fases, la operaci\u00f3n se bas\u00f3 en troyanos de acceso remoto f\u00e1cilmente disponibles como AsyncRAT y Cobalt Strike, antes de pasar a malware personalizado a fines de 2021 o principios de 2022 en un intento por frustrar la detecci\u00f3n.<\/p>\n<p>Una t\u00e1ctica de evasi\u00f3n principal se refiere al uso de carpetas de Microsoft Windows que es probable que el software de seguridad excluya del an\u00e1lisis (p. ej., System32 y Archivos de programa) para almacenar las cargas \u00fatiles de la puerta trasera.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Pandilla-china-PostalFurious-ataca-a-usuarios-de-EAU-con-esquema.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Una de las subcarpetas en cuesti\u00f3n es &#8220;C:Archivos de programaDellCommandUpdate&#8221;, que es el directorio de una aplicaci\u00f3n leg\u00edtima de Dell llamada <a rel=\"nofollow noopener\" href=\"https:\/\/www.dell.com\/support\/kbdoc\/en-us\/000177325\/dell-command-update\" target=\"_blank\">Comando Dell |  Actualizar<\/a>.<\/p>\n<p>Bitdefender dijo que todas las m\u00e1quinas infectadas en el transcurso del incidente fueron fabricadas por Dell, lo que sugiere que los atacantes eligieron deliberadamente esta carpeta para camuflar la actividad maliciosa.<\/p>\n<p>Esta l\u00ednea de razonamiento se ve reforzada por el hecho de que el autor de la amenaza registr\u00f3 dominios de comando y control (C2) como &#8220;dell-a[.]actualizaci\u00f3n ntp[.]com&#8221; con el objetivo de integrarse en el entorno de destino.<\/p>\n<p>El conjunto de intrusi\u00f3n se caracteriza por el uso de una puerta trasera del lado del servidor llamada RDStealer, que se especializa en recopilar continuamente contenido del portapapeles y datos de pulsaciones de teclas del host.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1687287696_665_Los-expertos-descubren-un-ataque-cibernetico-de-un-ano-contra.jpg\" alt=\"\" border=\"0\" data-original-height=\"278\" data-original-width=\"728\"\/><\/div>\n<p>Pero lo que lo hace destacar es su capacidad para &#8220;supervisar RDP entrantes [Remote Desktop Protocol] conexiones y comprometer una m\u00e1quina remota si <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/termserv\/terminal-services-virtual-channels\" target=\"_blank\">asignaci\u00f3n de unidades del cliente<\/a> est\u00e1 habilitado.&#8221;<\/p>\n<p>Por lo tanto, cuando se detecta una nueva conexi\u00f3n de cliente RDP, RDStealer emite comandos para filtrar datos confidenciales, como el historial de navegaci\u00f3n, las credenciales y las claves privadas de aplicaciones como mRemoteNG, KeePass y Google Chrome.<\/p>\n<p>&#8220;Esto destaca el hecho de que los actores de amenazas buscan activamente credenciales y guardan conexiones con otros sistemas&#8221;, Marin Zugec de Bitdefender. <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/businessinsights\/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads\/\" target=\"_blank\">dicho<\/a> en un segundo an\u00e1lisis.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>\ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n<p class=\"wn-description\">Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">\u00danase a la sesi\u00f3n<\/a><\/div>\n<p>Adem\u00e1s, los clientes RDP que se conectan est\u00e1n infectados con otro malware personalizado basado en Golang conocido como Logutil para mantener un punto de apoyo persistente en la red de la v\u00edctima usando <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/businessinsights\/tech-explainer-what-is-dll-sideloading\/\" target=\"_blank\">T\u00e9cnicas de carga lateral de DLL<\/a> y facilitar la ejecuci\u00f3n de comandos.<\/p>\n<p>No se sabe mucho sobre el actor de amenazas, aparte del hecho de que ha estado activo desde al menos 2020.<\/p>\n<p>&#8220;Los ciberdelincuentes continuamente innovan y exploran m\u00e9todos novedosos para mejorar la confiabilidad y el sigilo de sus actividades maliciosas&#8221;, dijo Zugec.<\/p>\n<p>&#8220;Este ataque sirve como testimonio de la creciente sofisticaci\u00f3n de los ataques cibern\u00e9ticos modernos, pero tambi\u00e9n subraya el hecho de que los actores de amenazas pueden aprovechar su nueva sofisticaci\u00f3n para explotar tecnolog\u00edas m\u00e1s antiguas y ampliamente adoptadas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/experts-uncover-year-long-cyber-attack.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80220 de junio de 2023\ue804Ravie Lakshman\u00e1n Un ataque cibern\u00e9tico altamente dirigido contra una empresa de TI de Asia<\/p>\n","protected":false},"author":1,"featured_media":815108,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2283,1247,4661,10042,4664,110,6073,2658,385,4662,4668,4667,36,4669,4654,4658,4659,4653,4655,34994,4663,169883,4666,4665,158,6984,4660],"class_list":["post-815107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ano","tag-ataque","tag-ataques-ciberneticos","tag-cibernetico","tag-como-hackear","tag-contra","tag-descubren","tag-empresa","tag-expertos","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-personalizado","tag-programa-malicioso-ransomware","tag-rdstealer","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-utiliza","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/815107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=815107"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/815107\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/815108"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=815107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=815107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=815107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}