{"id":931011,"date":"2023-09-01T09:47:08","date_gmt":"2023-09-01T09:47:08","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-troyano-superbear-surge-en-un-ataque-de-phishing-dirigido-a-activistas-surcoreanos\/"},"modified":"2023-09-01T09:47:13","modified_gmt":"2023-09-01T09:47:13","slug":"el-nuevo-troyano-superbear-surge-en-un-ataque-de-phishing-dirigido-a-activistas-surcoreanos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-troyano-superbear-surge-en-un-ataque-de-phishing-dirigido-a-activistas-surcoreanos\/","title":{"rendered":"El nuevo troyano SuperBear surge en un ataque de phishing dirigido a activistas surcoreanos"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un nuevo ataque de phishing probablemente dirigido a grupos de la sociedad civil en Corea del Sur ha llevado al descubrimiento de un novedoso troyano de acceso remoto llamado superoso<\/strong>.<\/p>\n

La intrusi\u00f3n destac\u00f3 a un activista an\u00f3nimo, que fue contactado a finales de agosto de 2023 y recibi\u00f3 un archivo LNK malicioso de una direcci\u00f3n que se hac\u00eda pasar por un miembro de la organizaci\u00f3n, entidad sin fines de lucro Interlabs. dicho<\/a> en un nuevo informe.<\/p>\n

El archivo LNK, tras su ejecuci\u00f3n, inicia un comando de PowerShell para ejecutar un script de Visual Basic que, a su vez, recupera las cargas \u00fatiles de la siguiente etapa de un sitio web de WordPress leg\u00edtimo pero comprometido.<\/p>\n

Esto incluye el binario Autoit3.exe (“solmir.pdb”) y un script AutoIt (“solmir_1.pdb”) que se inicia utilizando el primero.<\/p>\n

El script AutoIt, por su parte, realiza la inyecci\u00f3n de proceso utilizando un t\u00e9cnica de vaciado del proceso<\/a>en el que se inserta c\u00f3digo malicioso en un proceso que se encuentra en estado suspendido.<\/p>\n

\"La<\/a><\/center><\/section>\n

En este caso, se genera una instancia de Explorer.exe para inyectar una RAT nunca antes vista denominada SuperBear que establece comunicaciones con un servidor remoto para filtrar datos, descargar y ejecutar comandos de shell adicionales y bibliotecas de enlaces din\u00e1micos (DDL). .<\/p>\n

“La acci\u00f3n predeterminada para el servidor C2 parece indicar a los clientes que extraigan y procesen datos del sistema”, dijo el investigador de Interlab Ovi Liber, se\u00f1alando que el malware se llama as\u00ed porque “la DLL maliciosa intentar\u00e1 crear un nombre de archivo aleatorio para \u00e9l, y si Si no puede, se llamar\u00e1 ‘SuperBear'”.<\/p>\n

El ataque se ha atribuido vagamente a un actor-estado-naci\u00f3n de Corea del Norte llamado Kimsuky (tambi\u00e9n conocido como APT43 o Emerald Sleet, Nickel Kimball y Velvet Chollima), citando similitudes con el vector de ataque inicial y los comandos de PowerShell utilizados.<\/p>\n

A principios de febrero, Interlab tambi\u00e9n revel\u00f3 que actores de estados-naci\u00f3n de Corea del Norte atacaron a un periodista en Corea del Sur con un malware para Android denominado RambleOn como parte de una campa\u00f1a de ingenier\u00eda social.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n