{"id":852715,"date":"2023-07-13T18:36:58","date_gmt":"2023-07-13T18:36:58","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-software-malicioso-picassoloader-utilizado-en-los-ataques-en-curso-contra-ucrania-y-polonia\/"},"modified":"2023-07-13T18:37:01","modified_gmt":"2023-07-13T18:37:01","slug":"el-software-malicioso-picassoloader-utilizado-en-los-ataques-en-curso-contra-ucrania-y-polonia","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-software-malicioso-picassoloader-utilizado-en-los-ataques-en-curso-contra-ucrania-y-polonia\/","title":{"rendered":"El software malicioso PicassoLoader utilizado en los ataques en curso contra Ucrania y Polonia"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Ataque cibernetico<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Las entidades gubernamentales, las organizaciones militares y los usuarios civiles en Ucrania y Polonia han sido objeto de una serie de campa\u00f1as dise\u00f1adas para robar datos confidenciales y obtener acceso remoto persistente a los sistemas infectados.<\/p>\n<p>El conjunto de intrusiones, que se extiende desde abril de 2022 hasta julio de 2023, aprovecha los se\u00f1uelos de phishing y los documentos se\u00f1uelo para implementar un malware de descarga llamado PicassoLoader, que act\u00faa como un conducto para lanzar Cobalt Strike Beacon y njRAT.<\/p>\n<p>&#8220;Los ataques utilizaron una cadena de infecci\u00f3n de varias etapas iniciada con documentos maliciosos de Microsoft Office, m\u00e1s com\u00fanmente utilizando formatos de archivo de Microsoft Excel y PowerPoint&#8221;, dijo el investigador de Cisco Talos, Vanja Svajcer. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/malicious-campaigns-target-entities-in-ukraine-poland\/\" target=\"_blank\">dicho<\/a> en un nuevo informe.  &#8220;Esto fue seguido por un descargador ejecutable y una carga \u00fatil oculta en un archivo de imagen, lo que probablemente dificulte su detecci\u00f3n&#8221;.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4905718\" target=\"_blank\">Alguno<\/a> del <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/5098518\" target=\"_blank\">actividades<\/a> se han atribuido a un actor de amenazas llamado GhostWriter (tambi\u00e9n conocido como UAC-0057 o UNC1151), cuyas prioridades se dice que se alinean con el gobierno de Bielorrusia.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Vale la pena se\u00f1alar que un subconjunto de estos ataques ya ha sido documentado durante el a\u00f1o pasado por el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) y Fortinet FortiGuard Labs, uno de los cuales emple\u00f3 documentos de PowerPoint cargados de macros para entregar el malware Agent Tesla en julio de 2022. .<\/p>\n<p>Las cadenas de infecci\u00f3n tienen como objetivo convencer a las v\u00edctimas para que habiliten las macros, con la macro VBA dise\u00f1ada para soltar un descargador de DLL conocido como PicassoLoader que luego llega a un sitio controlado por el atacante para obtener la carga \u00fatil de la siguiente etapa, un archivo de imagen leg\u00edtimo que incrusta la \u00faltima programa malicioso<\/p>\n<p>La divulgaci\u00f3n se produce cuando CERT-UA detall\u00f3 un <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4755642\" target=\"_blank\">n\u00famero<\/a> de <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4555802\" target=\"_blank\">suplantaci\u00f3n de identidad<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/5158006\" target=\"_blank\">operaciones<\/a> distribuir el malware SmokeLoader, as\u00ed como un <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4789582\" target=\"_blank\">ataque de smishing<\/a> dise\u00f1ado para obtener el control no autorizado de las cuentas de Telegram de los objetivos.<\/p>\n<p>El mes pasado, CERT-UA revel\u00f3 una <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4818341\" target=\"_blank\">campa\u00f1a de ciberespionaje<\/a> dirigido a organizaciones estatales y representantes de los medios en Ucrania que utiliza correo electr\u00f3nico y mensajer\u00eda instant\u00e1nea para distribuir archivos que, cuando se inician, dan como resultado la ejecuci\u00f3n de un script de PowerShell llamado LONEPAGE para obtener el ladr\u00f3n de navegadores de pr\u00f3xima etapa (THUMBCHOP) y el registrador de teclas (CLOGFLAG ) cargas \u00fatiles.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfPreocupado por las amenazas internas?  \u00a1Te tenemos cubierto!  \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">\u00danete hoy<\/a><\/section>\n<p>GhostWriter es uno de los muchos actores de amenazas que han puesto sus ojos en Ucrania.  Esto tambi\u00e9n incluye al grupo de estado-naci\u00f3n ruso APT28, que ha sido <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/5105791\" target=\"_blank\">observado<\/a> utilizando archivos adjuntos HTML en correos electr\u00f3nicos de phishing que solicitan a los destinatarios que cambien su UKR.NET y Yahoo!  contrase\u00f1as debido a actividad sospechosa detectada en sus cuentas para redirigirlas a p\u00e1ginas de destino falsas que finalmente roban sus credenciales.<\/p>\n<p>El desarrollo tambi\u00e9n sigue a la adopci\u00f3n de un &#8220;libro de jugadas est\u00e1ndar de cinco fases&#8221; por parte de piratas inform\u00e1ticos asociados con la inteligencia militar rusa (GRU) en sus operaciones disruptivas contra Ucrania en un &#8220;esfuerzo deliberado para aumentar la velocidad, la escala y la intensidad&#8221; de sus ataques. .<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1689273418_145_El-software-malicioso-PicassoLoader-utilizado-en-los-ataques-en-curso.jpg\" alt=\"\" border=\"0\" data-original-height=\"351\" data-original-width=\"728\"\/><\/div>\n<p>Esto comprende aprovechar la infraestructura de vida en el borde para obtener acceso inicial, utilizando t\u00e9cnicas de vida fuera de la tierra para realizar reconocimiento, movimiento lateral y robo de informaci\u00f3n para limitar su huella de malware y evadir la detecci\u00f3n, creando acceso persistente y privilegiado. a trav\u00e9s de objetos de pol\u00edtica de grupo (GPO), implementando limpiaparabrisas y telegrafiando sus actos a trav\u00e9s de personas hacktivistas en Telegram.<\/p>\n<p>&#8220;Los beneficios que ofrece el libro de jugadas son notablemente adecuados para un entorno operativo de ritmo r\u00e1pido y muy disputado, lo que indica que los objetivos de Rusia en tiempos de guerra probablemente han guiado los cursos de acci\u00f3n t\u00e1cticos elegidos por GRU&#8221;, Mandiant, propiedad de Google. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/gru-disruptive-playbook\" target=\"_blank\">dicho<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/picassoloader-malware-used-in-ongoing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 de julio de 2023\ue804THNAtaque cibernetico Las entidades gubernamentales, las organizaciones militares y los usuarios civiles en Ucrania<\/p>\n","protected":false},"author":1,"featured_media":852716,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,4664,110,6312,4662,4668,4667,36,6210,4654,4658,4659,4653,4655,174048,2271,4663,4666,4665,6246,353,932,4660],"class_list":["post-852715","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-contra","tag-curso","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malicioso","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-picassoloader","tag-polonia","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software","tag-ucrania","tag-utilizado","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/852715","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=852715"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/852715\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/852716"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=852715"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=852715"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=852715"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}