{"id":824647,"date":"2023-06-26T15:33:41","date_gmt":"2023-06-26T15:33:41","guid":{"rendered":"https:\/\/teknomers.com\/es\/intercambio-de-criptomonedas-japones-es-victima-del-ataque-de-puerta-trasera-de-macos-de-jokerspy\/"},"modified":"2023-06-26T15:33:44","modified_gmt":"2023-06-26T15:33:44","slug":"intercambio-de-criptomonedas-japones-es-victima-del-ataque-de-puerta-trasera-de-macos-de-jokerspy","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/intercambio-de-criptomonedas-japones-es-victima-del-ataque-de-puerta-trasera-de-macos-de-jokerspy\/","title":{"rendered":"Intercambio de criptomonedas japon\u00e9s es v\u00edctima del ataque de puerta trasera de macOS de JokerSpy"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Criptomoneda \/ Seguridad de punto final<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un intercambio de criptomonedas desconocido ubicado en Jap\u00f3n fue el objetivo de un nuevo ataque a principios de este mes para implementar una puerta trasera de Apple macOS llamada JokerSpy.<\/p>\n<p>Elastic Security Labs, que est\u00e1 monitoreando el conjunto de intrusiones bajo el nombre <strong>REF9134<\/strong>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/inital-research-of-jokerspy\" target=\"_blank\">dicho<\/a> el ataque condujo a la instalaci\u00f3n de Swiftbelt, una herramienta de enumeraci\u00f3n basada en Swift inspirada en una utilidad de c\u00f3digo abierto llamada <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/GhostPack\/Seatbelt\" target=\"_blank\">Cintur\u00f3n de seguridad<\/a>.<\/p>\n<p>Bitdefender document\u00f3 por primera vez JokerSky la semana pasada, y lo describi\u00f3 como un conjunto de herramientas sofisticado dise\u00f1ado para violar las m\u00e1quinas macOS.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Nueva-campana-de-malware-que-aprovecha-Satacom-Downloader-para-robar.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Se sabe muy poco sobre el actor de amenazas detr\u00e1s de los ataques, aparte del hecho de que los ataques aprovechan un conjunto de programas escritos en Python y Swift que vienen con capacidades para recopilar datos y ejecutar comandos arbitrarios en hosts comprometidos.<\/p>\n<p>Un componente principal del kit de herramientas es un binario de arquitectura m\u00faltiple autofirmado conocido como xcc que est\u00e1 dise\u00f1ado para verificar los permisos de FullDiskAccess y ScreenRecording.<\/p>\n<p>El archivo est\u00e1 firmado como XProtectCheck, lo que indica un intento de hacerse pasar por <a rel=\"nofollow noopener\" href=\"https:\/\/support.apple.com\/en-us\/guide\/security\/sec469d47bd8\/web\" target=\"_blank\">xproteger<\/a>una tecnolog\u00eda antivirus integrada en macOS que utiliza reglas de detecci\u00f3n basadas en firmas para eliminar el malware de hosts ya infectados.<\/p>\n<p>En el incidente analizado por Elastic, la creaci\u00f3n de xcc es seguida por el actor de amenazas &#8220;intentando eludir los permisos de TCC creando sus propios <a rel=\"nofollow noopener\" href=\"https:\/\/support.apple.com\/en-us\/guide\/security\/secddd1d86a6\/web\" target=\"_blank\">base de datos TCC<\/a> y tratando de reemplazar el existente&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Intercambio-de-criptomonedas-japones-es-victima-del-ataque-de-puerta.png\" alt=\"\" border=\"0\" data-original-height=\"1288\" data-original-width=\"1999\"\/><\/div>\n<p>&#8220;El 1 de junio, se vio una nueva herramienta basada en Python ejecut\u00e1ndose desde el mismo directorio que xcc y se utiliz\u00f3 para ejecutar una herramienta de enumeraci\u00f3n posterior a la explotaci\u00f3n de macOS de c\u00f3digo abierto conocida como Swiftbelt&#8221;, investigadores de seguridad Colson Wilhoit, Salim Bitam, Seth Goodwin , Andrew Pease y Ricardo Ungureanu dijeron.<\/p>\n<p>El ataque se dirigi\u00f3 a un gran proveedor de servicios de criptomonedas con sede en Jap\u00f3n que se centra en el intercambio de activos para el comercio de Bitcoin, Ethereum y otras criptomonedas comunes.  El nombre de la empresa no fue revelado.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.memcyco.com\/home\/library\/the-untold-cost-of-brand-impersonation-ebook\/?utm_source=thn&amp;utm_medium=referral&amp;utm_campaign=ebook-campaign\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1687793621_378_Intercambio-de-criptomonedas-japones-es-victima-del-ataque-de-puerta.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El binario xcc, por su parte, se inicia a trav\u00e9s de Bash a trav\u00e9s de tres aplicaciones diferentes que se denominan IntelliJ IDEA, iTerm (un emulador de terminal para macOS) y Visual Studio Code, lo que indica que es probable que se utilicen versiones con puerta trasera de software de desarrollo de software para obtener acceso inicial.<\/p>\n<p>Otro m\u00f3dulo notable instalado como parte del ataque es sh.py, un implante de Python que se usa como conducto para entregar otras herramientas posteriores a la explotaci\u00f3n como Swiftbelt.<\/p>\n<p>&#8220;A diferencia de otros m\u00e9todos de enumeraci\u00f3n, Swiftbelt invoca el c\u00f3digo Swift para evitar crear artefactos en la l\u00ednea de comandos&#8221;, dijeron los investigadores.  &#8220;Notablemente, las variantes de xcc tambi\u00e9n se escriben usando Swift&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/japanese-cryptocurrency-exchange-falls.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 de junio de 2023\ue804Ravie Lakshman\u00e1nCriptomoneda \/ Seguridad de punto final Un intercambio de criptomonedas desconocido ubicado en<\/p>\n","protected":false},"author":1,"featured_media":824648,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1247,4661,4664,1868,38,4662,5510,13230,171000,4668,4667,34079,4654,4658,4659,4653,4655,4663,1732,4666,4665,7157,1301,4660],"class_list":["post-824647","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataque","tag-ataques-ciberneticos","tag-como-hackear","tag-criptomonedas","tag-del","tag-filtracion-de-datos","tag-intercambio","tag-japones","tag-jokerspy","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-macos","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-trasera","tag-victima","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/824647","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=824647"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/824647\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/824648"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=824647"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=824647"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=824647"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}