{"id":865174,"date":"2023-07-21T13:03:47","date_gmt":"2023-07-21T13:03:47","guid":{"rendered":"https:\/\/teknomers.com\/es\/sofisticado-software-malicioso-bundlebot-disfrazado-de-google-ai-chatbot-y-utilidades\/"},"modified":"2023-07-21T13:03:51","modified_gmt":"2023-07-21T13:03:51","slug":"sofisticado-software-malicioso-bundlebot-disfrazado-de-google-ai-chatbot-y-utilidades","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/sofisticado-software-malicioso-bundlebot-disfrazado-de-google-ai-chatbot-y-utilidades\/","title":{"rendered":"Sofisticado software malicioso BundleBot disfrazado de Google AI Chatbot y utilidades"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Amenaza Cibern\u00e9tica \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Una nueva variedad de malware conocida como <b>PaqueteBot <\/b>ha estado operando sigilosamente bajo el radar aprovechando <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/dotnet\/core\/deploying\/single-file\/overview\" target=\"_blank\">T\u00e9cnicas de implementaci\u00f3n de un solo archivo .NET<\/a>lo que permite a los actores de amenazas capturar informaci\u00f3n confidencial de hosts comprometidos.<\/p>\n<p>&#8220;BundleBot est\u00e1 abusando del paquete dotnet (archivo \u00fanico), formato aut\u00f3nomo que da como resultado una detecci\u00f3n est\u00e1tica muy baja o nula&#8221;, Check Point <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2023\/byos-bundle-your-own-stealer\/\" target=\"_blank\">dicho<\/a> en un informe publicado esta semana, agrega que &#8220;com\u00fanmente se distribuye a trav\u00e9s de anuncios de Facebook y cuentas comprometidas que conducen a sitios web que se hacen pasar por utilidades de programas regulares, herramientas de inteligencia artificial y juegos&#8221;.<\/p>\n<p>Algunos de estos sitios web tienen como objetivo imitar a Google Bard, el chatbot de inteligencia artificial generativa conversacional de la compa\u00f1\u00eda, incitando a las v\u00edctimas a descargar un archivo RAR falso (&#8220;Google_AI.rar&#8221;) alojado en servicios leg\u00edtimos de almacenamiento en la nube como Dropbox.<\/p>\n<p>El archivo de almacenamiento, cuando se desempaqueta, contiene un archivo ejecutable (&#8220;GoogleAI.exe&#8221;), que es la aplicaci\u00f3n aut\u00f3noma de un solo archivo .NET (&#8220;GoogleAI.exe&#8221;) que, a su vez, incorpora un archivo DLL (&#8220;GoogleAI.dll&#8221;), cuya responsabilidad es obtener un archivo ZIP protegido con contrase\u00f1a de Google Drive.<\/p>\n<p>El contenido extra\u00eddo del archivo ZIP (&#8220;ADSNEW-1.0.0.3.zip&#8221;) es otra aplicaci\u00f3n independiente de archivo \u00fanico .NET (&#8220;RiotClientServices.exe&#8221;) que incorpora la carga \u00fatil de BundleBot (&#8220;RiotClientServices.dll&#8221;) y un serializador de datos de paquetes de comando y control (C2) (&#8220;LirarySharing.dll&#8221;).<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>&#8220;El ensamblado RiotClientServices.dll es un nuevo ladr\u00f3n\/bot personalizado que utiliza la biblioteca LirarySharing.dll para procesar y serializar los datos del paquete que se env\u00edan a C2 como parte de la comunicaci\u00f3n del bot&#8221;, dijo la compa\u00f1\u00eda de ciberseguridad israel\u00ed.<\/p>\n<p>Los artefactos binarios emplean ofuscaci\u00f3n personalizada y c\u00f3digo basura en un intento por resistir el an\u00e1lisis, y vienen con capacidades para desviar datos de navegadores web, capturar capturas de pantalla, obtener tokens de Discord, informaci\u00f3n de Telegram y detalles de cuentas de Facebook.<\/p>\n<p>Check Point dijo que tambi\u00e9n detect\u00f3 una segunda muestra de BundleBot que es pr\u00e1cticamente id\u00e9ntica en todos los aspectos, salvo el uso de HTTPS para filtrar la informaci\u00f3n a un servidor remoto en forma de archivo ZIP.<\/p>\n<p>&#8220;El m\u00e9todo de entrega a trav\u00e9s de los anuncios de Facebook y las cuentas comprometidas es algo de lo que los actores de amenazas han abusado durante un tiempo, a\u00fan combin\u00e1ndolo con una de las capacidades del malware revelado (robar la informaci\u00f3n de la cuenta de Facebook de una v\u00edctima) podr\u00eda servir como una rutina complicada de autoalimentaci\u00f3n&#8221;, se\u00f1al\u00f3 la compa\u00f1\u00eda.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhLAHsl3juy34rXjduP84-bn_CoF6YdKslkJaOKlVyTPQQ-XfdA5rANfRlQ6lWyOuBxUrZ_vAGGawrV5QJ11OE3xvWkP4dNxIjPJzMwnIXf8CwZq1TdPWDBzwgolTwNP-dMdbcf88qx9nBXlFkyopdxBk_UQ6BGXcCqJ4UXbjSsg4SmnoRDfJ1MOZR74J26\/s728-e3650\/ai.jpg\" alt=\"Google AI Chatbot y utilidades\" border=\"0\" data-original-height=\"344\" data-original-width=\"728\" title=\"Google AI Chatbot y utilidades\"\/><\/div>\n<p>El desarrollo llega como Malwarebytes <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/07\/criminals-target-businesses-with-malicious-extension-for-metas-ads-manager-and-accidentally-leak-stolen-accounts\" target=\"_blank\">descubierto<\/a> una nueva campa\u00f1a que emplea publicaciones patrocinadas y cuentas verificadas comprometidas que se hacen pasar por el administrador de anuncios de Facebook para atraer a los usuarios a que descarguen extensiones falsas de Google Chrome que est\u00e1n dise\u00f1adas para robar informaci\u00f3n de inicio de sesi\u00f3n de Facebook.<\/p>\n<p>A los usuarios que hacen clic en el enlace incrustado se les solicita que descarguen un archivo RAR que contiene un archivo de instalaci\u00f3n MSI que, por su parte, inicia un script por lotes para generar una nueva ventana de Google Chrome con la extensi\u00f3n maliciosa cargada usando el indicador &#8220;&#8211;load-extension&#8221; &#8211;<\/p>\n<blockquote><p><em>inicie chrome.exe &#8211;load-extension=&#8221;%~dp0\/nmmhkkegccagdldgiimedpiccmgmiedagg4&#8243; &#8220;https:\/\/www.facebook.com\/business\/tools\/ads-manager&#8221;<\/em><\/p><\/blockquote>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfPreocupado por las amenazas internas?  \u00a1Te tenemos cubierto!  \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">\u00danete hoy<\/a><\/section>\n<p>&#8220;Esa extensi\u00f3n personalizada est\u00e1 h\u00e1bilmente disfrazada como Google Translate y se considera &#8216;Desempaquetada&#8217; porque se carg\u00f3 desde la computadora local, en lugar de Chrome Web Store&#8221;, explic\u00f3 J\u00e9r\u00f4me Segura, director de inteligencia de amenazas en Malwarebytes, y se\u00f1al\u00f3 que est\u00e1 &#8220;totalmente enfocada en Facebook y en obtener informaci\u00f3n importante que podr\u00eda permitir que un atacante inicie sesi\u00f3n en las cuentas&#8221;.<\/p>\n<p>Los datos capturados se env\u00edan posteriormente mediante la API de Google Analytics para sortear las pol\u00edticas de seguridad de contenido (<a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/CSP\" target=\"_blank\">CSP<\/a>) para mitigar los ataques de secuencias de comandos entre sitios (XSS) y de inyecci\u00f3n de datos.<\/p>\n<p>Se sospecha que los actores de amenazas detr\u00e1s de la actividad son de origen vietnamita, quienes, en los \u00faltimos meses, han mostrado un gran inter\u00e9s en apuntar a las cuentas comerciales y publicitarias de Facebook.  M\u00e1s de 800 v\u00edctimas en todo el mundo se han visto afectadas, 310 de ellas ubicadas en los EE. UU.<\/p>\n<p>&#8220;Los estafadores tienen mucho tiempo libre y pasan a\u00f1os estudiando y entendiendo c\u00f3mo abusar de las redes sociales y las plataformas en la nube, donde es una carrera armamentista constante para mantener alejados a los malos&#8221;, dijo Segura.  &#8220;Recuerde que no existe una bala de plata y cualquier cosa que suene demasiado bueno para ser verdad puede muy bien ser una estafa disfrazada&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/sophisticated-bundlebot-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 de julio de 2023\ue804THNAmenaza Cibern\u00e9tica \/ Malware Una nueva variedad de malware conocida como PaqueteBot ha estado<\/p>\n","protected":false},"author":1,"featured_media":865175,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,175350,77545,4664,8847,4662,8666,4668,4667,6210,4654,4658,4659,4653,4655,4663,4666,4665,65824,6246,97313,4660],"class_list":["post-865174","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-bundlebot","tag-chatbot","tag-como-hackear","tag-disfrazado","tag-filtracion-de-datos","tag-google","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malicioso","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sofisticado","tag-software","tag-utilidades","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/865174","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=865174"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/865174\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/865175"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=865174"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=865174"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=865174"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}