{"id":841524,"date":"2023-07-06T20:53:43","date_gmt":"2023-07-06T20:53:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-sofisticado-de-los-piratas-informaticos-iranies-se-dirige-a-los-usuarios-de-windows-y-macos\/"},"modified":"2023-07-06T20:53:46","modified_gmt":"2023-07-06T20:53:46","slug":"el-malware-sofisticado-de-los-piratas-informaticos-iranies-se-dirige-a-los-usuarios-de-windows-y-macos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-sofisticado-de-los-piratas-informaticos-iranies-se-dirige-a-los-usuarios-de-windows-y-macos\/","title":{"rendered":"El malware sofisticado de los piratas inform\u00e1ticos iran\u00edes se dirige a los usuarios de Windows y macOS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad de punto final\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El actor del estado-naci\u00f3n iran\u00ed conocido como TA453 ha sido vinculado a un nuevo conjunto de ataques de phishing selectivo que infectan los sistemas operativos Windows y macOS con malware.<\/p>\n<p>&#8220;TA453 finalmente us\u00f3 una variedad de proveedores de alojamiento en la nube para ofrecer una cadena de infecci\u00f3n novedosa que implementa la puerta trasera GorjolEcho de PowerShell recientemente identificada&#8221;, Proofpoint <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware\" target=\"_blank\">dicho<\/a> en un nuevo informe.<\/p>\n<p>&#8220;Cuando se le dio la oportunidad, TA453 port\u00f3 su malware e intent\u00f3 lanzar una cadena de infecci\u00f3n con sabor a Apple denominada NokNok. TA453 tambi\u00e9n emple\u00f3 la suplantaci\u00f3n de identidad de varias personas en su interminable b\u00fasqueda de espionaje&#8221;.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>TA453, tambi\u00e9n conocido por los nombres APT35, Charming Kitten, Mint Sandstorm y Yellow Garuda, es un grupo de amenazas vinculado al Cuerpo de la Guardia Revolucionaria Isl\u00e1mica (IRGC) de Ir\u00e1n que ha estado activo desde al menos 2011. M\u00e1s recientemente, Volexity destac\u00f3 el uso del adversario de una versi\u00f3n actualizada de un implante Powershell llamado CharmPower (tambi\u00e9n conocido como GhostEcho o POWERSTAR).<\/p>\n<p>En la secuencia de ataque descubierta por la empresa de seguridad empresarial a mediados de mayo de 2023, el equipo de piratas inform\u00e1ticos envi\u00f3 correos electr\u00f3nicos de phishing a un experto en seguridad nuclear en un grupo de expertos con sede en EE. UU. centrado en asuntos exteriores que entreg\u00f3 un enlace malicioso a una macro de Google Script que redirija el objetivo a una URL de Dropbox que aloje un archivo RAR.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1688676823_844_El-malware-sofisticado-de-los-piratas-informaticos-iranies-se-dirige.jpg\" alt=\"Software malicioso de Windows macOS\" border=\"0\" data-original-height=\"445\" data-original-width=\"728\" title=\"Software malicioso de Windows macOS\"\/><\/div>\n<p>Dentro del archivo hay un cuentagotas LNK que inicia un procedimiento de varias etapas para finalmente implementar GorjolEcho, que, a su vez, muestra un documento PDF de se\u00f1uelo, mientras espera de forma encubierta las cargas \u00fatiles de la siguiente etapa desde un servidor remoto.<\/p>\n<p>Pero al darse cuenta de que el objetivo est\u00e1 usando una computadora Apple, se dice que TA453 modific\u00f3 su modus operandi para enviar un segundo correo electr\u00f3nico con un archivo ZIP que incrusta un binario Mach-O que se hace pasar por una aplicaci\u00f3n VPN, pero en realidad es un AppleScript. que llega a un servidor remoto para descargar una puerta trasera basada en un script Bash llamada NokNok.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>\ud83d\udd10 Gesti\u00f3n de acceso privilegiado: aprenda a superar desaf\u00edos clave<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Descubra diferentes enfoques para conquistar los desaf\u00edos de la gesti\u00f3n de cuentas privilegiadas (PAM) y suba de nivel su estrategia de seguridad de acceso privilegiado.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-button\">Reserve su lugar<\/a><\/section>\n<p>NokNok, por su parte, obtiene hasta cuatro m\u00f3dulos que son capaces de recopilar procesos en ejecuci\u00f3n, aplicaciones instaladas y metadatos del sistema, as\u00ed como configurar la persistencia utilizando LaunchAgents.<\/p>\n<p>Los m\u00f3dulos &#8220;reflejan la mayor\u00eda de la funcionalidad&#8221; de los m\u00f3dulos asociados con CharmPower, con NokNok compartiendo algunos c\u00f3digos fuente superpuestos con <a rel=\"nofollow noopener\" href=\"https:\/\/iranthreats.github.io\/resources\/macdownloader-macos-malware\/\" target=\"_blank\">software malintencionado para macOS<\/a> previamente atribuido al grupo en 2017.<\/p>\n<p>El actor tambi\u00e9n puso en uso un sitio web falso para compartir archivos que probablemente funciona para tomar huellas dactilares de los visitantes y actuar como un mecanismo para rastrear a las v\u00edctimas exitosas.<\/p>\n<p>&#8220;TA453 contin\u00faa adaptando su arsenal de malware, implementando nuevos tipos de archivos y apuntando a nuevos sistemas operativos&#8221;, dijeron los investigadores, y agregaron que el actor &#8220;contin\u00faa trabajando hacia sus mismos objetivos finales de reconocimiento intrusivo y no autorizado&#8221; al mismo tiempo que complica los esfuerzos de detecci\u00f3n.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/iranian-hackers-sophisticated-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 de julio de 2023\ue804Ravie Lakshman\u00e1nSeguridad de punto final\/malware El actor del estado-naci\u00f3n iran\u00ed conocido como TA453 ha<\/p>\n","protected":false},"author":1,"featured_media":841525,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,4193,4662,6214,10364,4668,4667,36,34079,4669,4654,4658,4659,4653,4655,6213,4663,4666,4665,65824,7528,4660,20385],"class_list":["post-841524","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-dirige","tag-filtracion-de-datos","tag-informaticos","tag-iranies","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-macos","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-piratas","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sofisticado","tag-usuarios","tag-vulnerabilidad-de-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/841524","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=841524"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/841524\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/841525"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=841524"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=841524"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=841524"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}