Un conjunto de herramientas maliciosas denominado Espacio y colon<\/strong> se est\u00e1 implementando como parte de una campa\u00f1a en curso para difundir variantes del ransomware Scarab entre las organizaciones v\u00edctimas en todo el mundo.<\/p>\n “Probablemente llega a las organizaciones v\u00edctimas porque sus operadores comprometen servidores web vulnerables o mediante la fuerza bruta de las credenciales RDP”, dijo el investigador de seguridad de ESET Jakub Sou\u010dek. dicho<\/a> en un art\u00edculo t\u00e9cnico detallado publicado el martes.<\/p>\n La empresa eslovaca de ciberseguridad, que denomin\u00f3 al actor de amenazas CosmicBeetle, dijo que los or\u00edgenes del Spacecolon se remontan a mayo de 2020. La mayor concentraci\u00f3n de v\u00edctimas se ha detectado en Francia, M\u00e9xico, Polonia, Eslovaquia, Espa\u00f1a y Turqu\u00eda.<\/p>\n Si bien la procedencia exacta del adversario no est\u00e1 clara, se dice que varias variantes de Spacecolon contienen cadenas turcas, lo que probablemente apunte a la participaci\u00f3n de un desarrollador de habla turca. Actualmente no hay evidencia que lo vincule con ning\u00fan otro grupo de actores de amenazas conocido.<\/p>\n Algunos de los objetivos incluyen un hospital y un centro tur\u00edstico en Tailandia, una compa\u00f1\u00eda de seguros en Israel, una instituci\u00f3n gubernamental local en Polonia, un proveedor de entretenimiento en Brasil, una empresa ambiental en Turqu\u00eda y una escuela en M\u00e9xico.<\/p>\n “CosmicBeetle no elige sus objetivos, sino que encuentra servidores a los que les faltan actualizaciones de seguridad cr\u00edticas y los aprovecha”, se\u00f1ala Sou\u010dek.<\/p>\n Vale la pena se\u00f1alar que Spacecolon fue documentado por primera vez<\/a> por la empresa polaca Zaufana Trzecia Strona a principios de febrero de 2023, lo que probablemente llev\u00f3 al adversario a modificar su arsenal en respuesta a revelaciones p\u00fablicas.<\/p>\n El componente principal de Spacecolon es ScHackTool, un orquestador con sede en Delhi que se utiliza para implementar un instalador que, como su nombre lo indica, instala ScService, una puerta trasera con funciones para ejecutar comandos personalizados, descargar y ejecutar cargas \u00fatiles y recuperar informaci\u00f3n del sistema de sitios comprometidos. m\u00e1quinas.<\/p>\n ScHackTool tambi\u00e9n funciona como un conducto para configurar una amplia gama de herramientas de terceros obtenidas de un servidor remoto (193.149.185[.]23). El objetivo final de los ataques es aprovechar el acceso proporcionado por ScService para entregar una variante del ransomware escarabajo<\/a>.<\/p>\n Una versi\u00f3n alternativa de la cadena de infecci\u00f3n identificada por ESET implica el uso de Paquete<\/a> implementar ScService en lugar de usar ScHackTool, lo que indica que los actores de amenazas est\u00e1n experimentando con diferentes m\u00e9todos.<\/p>\n Los motivos financieros de CosmicBeetle se ven reforzados a\u00fan m\u00e1s por el hecho de que la carga \u00fatil del ransomware tambi\u00e9n lanza un malware clipper para controlar el portapapeles del sistema y modificar las direcciones de las billeteras de criptomonedas a aquellas que est\u00e1n bajo el control del atacante.<\/p>\n Adem\u00e1s, hay pruebas de que el adversario est\u00e1 desarrollando activamente una nueva cepa de ransomware denominada ScRansom, que intenta cifrar todos los discos duros, extra\u00edbles y remotos utilizando el AES-128<\/a> algoritmo con una clave generada a partir de una cadena codificada.<\/p>\n “CosmicBeetle no hace mucho esfuerzo por ocultar su malware y deja muchos artefactos en los sistemas comprometidos”, dijo Sou\u010dek. “Se implementan pocas o ninguna t\u00e9cnica anti-an\u00e1lisis o anti-emulaci\u00f3n. ScHackTool depende en gran medida de su GUI, pero, al mismo tiempo, contiene varios botones no funcionales”.<\/p>\n “Los operadores de CosmicBeetle utilizan ScHackTool principalmente para descargar herramientas adicionales de su elecci\u00f3n en las m\u00e1quinas comprometidas y ejecutarlas como mejor les parezca”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/New-NodeStealer-Targeting-Facebook-Business-Accounts-and-Crypto-Wallets.png\")
<\/a><\/center><\/section>\n![\"Escarabajo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1692788861_519_El-conjunto-de-herramientas-Spacecolon-impulsa-el-aumento-mundial-de.jpg\" "\\"Escarabajo")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\")
<\/a><\/center><\/section>\n![\"Escarabajo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1692788862_820_El-conjunto-de-herramientas-Spacecolon-impulsa-el-aumento-mundial-de.jpg\" "\\"Escarabajo")
<\/div>\n