{"id":917469,"date":"2023-08-23T18:45:56","date_gmt":"2023-08-23T18:45:56","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-actor-de-amenazas-sirio-evlf-desenmascarado-como-creador-del-malware-cypherrat-y-craxsrat-para-android\/"},"modified":"2023-08-23T18:45:59","modified_gmt":"2023-08-23T18:45:59","slug":"el-actor-de-amenazas-sirio-evlf-desenmascarado-como-creador-del-malware-cypherrat-y-craxsrat-para-android","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-actor-de-amenazas-sirio-evlf-desenmascarado-como-creador-del-malware-cypherrat-y-craxsrat-para-android\/","title":{"rendered":"El actor de amenazas sirio EVLF desenmascarado como creador del malware CypherRAT y CraxsRAT para Android"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 de agosto de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad M\u00f3vil \/ Delitos Cibern\u00e9ticos<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un actor de amenazas sirio llamado <strong>EVLF<\/strong> ha sido descubierto como el creador de las familias de malware CypherRAT y CraxsRAT.<\/p>\n<p>&#8220;Estas RAT est\u00e1n dise\u00f1adas para permitir que un atacante realice acciones remotas en tiempo real y controle la c\u00e1mara, la ubicaci\u00f3n y el micr\u00f3fono del dispositivo de la v\u00edctima&#8221;, dijo la firma de ciberseguridad Cyfirma. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyfirma.com\/outofband\/unmasking-evlf-dev-the-creator-of-cypherrat-and-craxsrat\/\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>Se dice que CypherRAT y CraxsRAT se ofrecen a otros ciberdelincuentes como parte de un esquema de malware como servicio (MaaS).  Se estima que hasta 100 actores de amenazas \u00fanicos han comprado las herramientas gemelas con una licencia de por vida durante los \u00faltimos tres a\u00f1os.<\/p>\n<p>Se dice que EVLF opera una tienda web para anunciar su warez desde al menos septiembre de 2022.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/edWGl41h\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/Researchers-Expose-Space-Pirates039-Cyber-Campaign-Across-Russia-and-Serbia.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>CraxsRAT se anuncia como un troyano de Android que permite a un actor de amenazas controlar remotamente un dispositivo infectado desde una computadora con Windows, y el desarrollador lanza constantemente nuevas actualizaciones basadas en los comentarios de los clientes.<\/p>\n<p>El paquete malicioso se genera mediante un constructor, que viene con opciones para personalizar y ofuscar la carga \u00fatil, elegir un \u00edcono, el nombre de la aplicaci\u00f3n y las funciones y permisos que deben activarse una vez instalada en el tel\u00e9fono inteligente.<\/p>\n<p>&#8220;CraxsRAT es una de las RAT m\u00e1s peligrosas en el panorama actual de amenazas de Android, con caracter\u00edsticas impactantes como la omisi\u00f3n de protecci\u00f3n de Google Play, vista de pantalla en vivo, as\u00ed como un shell para la ejecuci\u00f3n de comandos&#8221;, explic\u00f3 Cyfirma.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1692816356_827_El-actor-de-amenazas-sirio-EVLF-desenmascarado-como-creador-del.jpg\" alt=\"\" border=\"0\" data-original-height=\"650\" data-original-width=\"728\"\/><\/div>\n<p>&#8220;La funci\u00f3n &#8216;Super Mod&#8217; hace que la aplicaci\u00f3n sea a\u00fan m\u00e1s letal, lo que dificulta que las v\u00edctimas la desinstalen (cada vez que la v\u00edctima intenta desinstalarla, la p\u00e1gina se bloquea)&#8221;.<\/p>\n<p>El malware de Android tambi\u00e9n solicita a las v\u00edctimas que le otorguen permisos para los servicios de accesibilidad de Android, lo que le permite recopilar una gran cantidad de informaci\u00f3n que ser\u00eda valiosa para los ciberdelincuentes, incluidos registros de llamadas, contactos, almacenamiento externo, ubicaci\u00f3n y mensajes SMS.<\/p>\n<p>Se ha observado a EVLF operando un canal de Telegram llamado &#8220;EvLF Devz&#8221; que se cre\u00f3 el 17 de febrero de 2022. Tiene 10,678 suscriptores al momento de escribir este art\u00edculo.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/Cr7gkMdK\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>A <a rel=\"nofollow noopener\" href=\"https:\/\/www.google.com\/search?q=site%3Agithub.com+craxsrat+OR+craxs\" target=\"_blank\">buscar<\/a> para superficies CraxsRAT <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/topics\/craxsrat\" target=\"_blank\">numeroso<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/topics\/craxs-rat\" target=\"_blank\">versiones crackeadas<\/a> del malware alojado en GitHub, aunque parece que Microsoft ha <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/h3LL0wn\/CraxsRat-V4.9.5\" target=\"_blank\">derribados<\/a> algunos de ellos en los \u00faltimos d\u00edas.  La cuenta GitHub de EVLF, sin embargo, <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/EVLF\" target=\"_blank\">permanece activo<\/a> en el servicio de alojamiento de c\u00f3digos.<\/p>\n<p>El 23 de agosto de 2023, EVLF public\u00f3 un mensaje en el canal diciendo que estaban colgando las botas del proyecto, probablemente en respuesta a la divulgaci\u00f3n p\u00fablica de sus actividades.<\/p>\n<p>&#8220;Desafortunadamente, este es el final, debido a circunstancias de la vida, dejar\u00e9 de desarrollar y publicar&#8221;, dijo EVLF en la publicaci\u00f3n.  &#8220;Para mis clientes, no se preocupen, no los dejar\u00e9 ir, les lanzar\u00e9 un par de parches antes de irme&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/08\/syrian-threat-actor-evlf-unmasked-as.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 de agosto de 2023\ue804THNSeguridad M\u00f3vil \/ Delitos Cibern\u00e9ticos Un actor de amenazas sirio llamado EVLF ha sido<\/p>\n","protected":false},"author":1,"featured_media":917470,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[1702,4657,4656,8898,8514,4661,440,4664,201125,13830,201124,38,53307,201123,4662,4668,201033,4669,4654,201031,4659,4653,4655,18,4666,4665,23396,201032,4660],"class_list":["post-917469","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actor","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-amenazas","tag-android","tag-ataques-ciberneticos","tag-como","tag-como-hackear","tag-craxsrat","tag-creador","tag-cypherrat","tag-del","tag-desenmascarado","tag-evlf","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sirio","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/917469","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=917469"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/917469\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/917470"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=917469"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=917469"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=917469"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}