{"id":829181,"date":"2023-06-29T07:19:48","date_gmt":"2023-06-29T07:19:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-thirdeye-basado-en-windows-recientemente-descubierto-roba-datos-confidenciales\/"},"modified":"2023-06-29T07:19:52","modified_gmt":"2023-06-29T07:19:52","slug":"el-malware-thirdeye-basado-en-windows-recientemente-descubierto-roba-datos-confidenciales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-thirdeye-basado-en-windows-recientemente-descubierto-roba-datos-confidenciales\/","title":{"rendered":"El malware ThirdEye basado en Windows recientemente descubierto roba datos confidenciales"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 de junio de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Ciberamenaza \/ Hackeo<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Un ladr\u00f3n de informaci\u00f3n basado en Windows previamente indocumentado llamado Tercer ojo<\/strong> ha sido descubierto en la naturaleza con capacidades para recolectar datos confidenciales de hosts infectados.<\/p>\n

Fortinet FortiGuard Labs, que hizo el descubrimiento<\/a>dijo que encontr\u00f3 el malware en un ejecutable que se hizo pasar por un archivo PDF<\/a> con un nombre ruso “CMK \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u043e\u0444\u043e\u0440\u043c\u043b\u0435\u043d\u0438\u044f \u0431\u043e\u043b\u044c\u043d\u0438\u0447\u043d\u044b\u0445 \u043b\u0438\u0441\u0442\u043e\u0432.pdf.exe”, que se traduce como “Reglas de CMK para emitir licencias por enfermedad.pdf.exe”.<\/p>\n

Actualmente se desconoce el vector de llegada del malware, aunque la naturaleza del se\u00f1uelo apunta a que se est\u00e1 utilizando en una campa\u00f1a de phishing. el mismo primera muestra de ThirdEye<\/a> se subi\u00f3 a VirusTotal el 4 de abril de 2023, con relativamente menos funciones.<\/p>\n

El ladr\u00f3n en evoluci\u00f3n, al igual que otras familias de malware de su tipo, est\u00e1 equipado para recopilar metadatos del sistema, incluida la fecha de lanzamiento del BIOS y el proveedor, el espacio total\/libre en el disco en la unidad C, los procesos que se est\u00e1n ejecutando actualmente, los nombres de usuario registrados y la informaci\u00f3n del volumen. Los detalles acumulados luego se transmiten a un servidor de comando y control (C2). <\/p>\n

\"La<\/a><\/center><\/div>\n

Un rasgo notable del malware es que usa la cadena “3rd_eye” para se\u00f1alar su presencia al servidor C2. <\/p>\n

No hay signos que sugieran que ThirdEye se haya utilizado en la naturaleza. Dicho esto, dado que la mayor\u00eda de los artefactos de robo se cargaron en VirusTotal desde Rusia, es probable que la actividad maliciosa est\u00e9 dirigida a organizaciones de habla rusa.<\/p>\n

“Si bien este malware no se considera sofisticado, est\u00e1 dise\u00f1ado para robar informaci\u00f3n diversa de las m\u00e1quinas comprometidas que pueden usarse como trampol\u00edn para futuros ataques”, dijeron los investigadores de Fortinet, y agregaron que los datos recopilados son “valiosos para comprender y reducir los objetivos potenciales”. “<\/p>\n

El desarrollo viene como instaladores troyanizados<\/a> para la popular franquicia de videojuegos Super Mario Bros alojada en sitios de torrents incompletos se est\u00e1 utilizando para propagar mineros de criptomonedas y un ladr\u00f3n de c\u00f3digo abierto escrito en C# llamado Umbral que extrae datos de inter\u00e9s utilizando Discord Webhooks.<\/p>\n

“La combinaci\u00f3n de actividades de miner\u00eda y robo conduce a p\u00e9rdidas financieras, una disminuci\u00f3n sustancial en el rendimiento del sistema de la v\u00edctima y el agotamiento de los valiosos recursos del sistema”, Cyble dicho<\/a>.<\/p>\n\n\n\n\n
\"Malware<\/td>\n<\/tr>\n
Cadena de infecci\u00f3n de SeroXen<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Los usuarios de videojuegos tambi\u00e9n han sido blanco de Ransomware basado en Python<\/a> y un troyano de acceso remoto denominado SeroXen, que se ha descubierto que aprovecha un motor comercial de ofuscaci\u00f3n de archivos por lotes conocido como ScrubCrypt (tambi\u00e9n conocido como BatCloak) para evadir la detecci\u00f3n. La evidencia muestra que los actores asociados con el desarrollo de SeroXen tambi\u00e9n han contribuido a la creaci\u00f3n de ScrubCrypt.<\/p>\n

\"La<\/a><\/center><\/div>\n

El malware, que se anunciaba a la venta en un sitio web clearnet<\/a> que se registr\u00f3 el 27 de marzo de 2023 antes de su cierre a fines de mayo, se ha promocionado a\u00fan m\u00e1s en Discord, TikTok, Twitter y YouTube. A versi\u00f3n crackeada de SeroXen<\/a> desde entonces ha llegado a los foros criminales.<\/p>\n

“Se recomienda encarecidamente a las personas que adopten una postura esc\u00e9ptica cuando encuentren enlaces y paquetes de software asociados con t\u00e9rminos como ‘trucos’, ‘hacks’, ‘cracks’ y otras piezas de software relacionadas con la obtenci\u00f3n de una ventaja competitiva”, Trend Micro anotado<\/a> en un nuevo an\u00e1lisis de SeroXen.<\/p>\n

“La adici\u00f3n de SeroXen y BatCloak al arsenal de malware de actores maliciosos destaca la evoluci\u00f3n de los ofuscadores FUD con una barrera de entrada baja. El enfoque casi amateur de usar las redes sociales para la promoci\u00f3n agresiva, considerando c\u00f3mo se puede rastrear f\u00e1cilmente, hace que estos los desarrolladores parecen novatos seg\u00fan los est\u00e1ndares de los actores de amenazas avanzados”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n