Una herramienta leg\u00edtima de Windows utilizada para crear paquetes de software llamada Instalador avanzado <\/b>Los actores de amenazas est\u00e1n abusando de \u00e9l para lanzar malware de miner\u00eda de criptomonedas en m\u00e1quinas infectadas desde al menos noviembre de 2021.<\/p>\n
“El atacante utiliza Instalador avanzado<\/a> para empaquetar otros instaladores de software leg\u00edtimos, como Adobe Illustrator, Autodesk 3ds Max y SketchUp Pro, con scripts maliciosos y utiliza la funci\u00f3n Acciones personalizadas del instalador avanzado para hacer que los instaladores de software ejecuten los scripts maliciosos”, dijo Chetan Raghuprasad, investigador de Cisco Talos. dicho<\/a> en un informe t\u00e9cnico.<\/p>\n La naturaleza de las aplicaciones troyanizadas indica que las v\u00edctimas probablemente abarcan los sectores de arquitectura, ingenier\u00eda, construcci\u00f3n, manufactura y entretenimiento. Los instaladores de software utilizan predominantemente el idioma franc\u00e9s, una se\u00f1al de que se est\u00e1 se\u00f1alando a los usuarios de habla francesa.<\/p>\n Este campa\u00f1a<\/a> es estrat\u00e9gico porque estas industrias dependen de computadoras con alta potencia de unidad de procesamiento de gr\u00e1ficos (GPU) para sus operaciones diarias, lo que las convierte en objetivos lucrativos para el criptojacking.<\/p>\n El an\u00e1lisis de Cisco de los datos de solicitud de DNS enviados a la infraestructura del atacante muestra que la huella de victimolog\u00eda se extiende por Francia y Suiza, seguida de infecciones espor\u00e1dicas en EE. UU., Canad\u00e1, Argelia, Suecia, Alemania, T\u00fanez, Madagascar, Singapur y Vietnam.<\/p>\n Los ataques culminan con la implementaci\u00f3n de un M3_Mini_Rat, un script de PowerShell que probablemente act\u00faa como una puerta trasera para descargar y ejecutar amenazas adicionales, as\u00ed como m\u00faltiples familias de malware de miner\u00eda de criptomonedas como PhoenixMiner y lolMiner.<\/p>\n En cuanto al vector de acceso inicial, se sospecha que se pueden haber empleado t\u00e9cnicas de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO) para entregar los instaladores de software manipulados a las m\u00e1quinas de la v\u00edctima.<\/p>\n El instalador, una vez iniciado, activa una cadena de ataque de varias etapas que elimina el c\u00f3digo auxiliar del cliente M3_Mini_Rat y los archivos binarios del minero.<\/p>\n “El cliente M3_Mini_Rat es un script de PowerShell con capacidades de administraci\u00f3n remota que se centra principalmente en realizar reconocimiento del sistema y descargar y ejecutar otros archivos binarios maliciosos”, dijo Raghuprasad.<\/p>\n El troyano est\u00e1 dise\u00f1ado para contactar con un servidor remoto, aunque actualmente no responde, lo que dificulta determinar la naturaleza exacta del malware que pudo haberse distribuido a trav\u00e9s de este proceso.<\/p>\n Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad<\/p>\n <\/a><\/p>\n \u00bfConsigui\u00f3 el MFA? \u00bfPAM? \u00bfProtecci\u00f3n de la cuenta de servicio? Descubra qu\u00e9 tan bien equipada est\u00e1 realmente su organizaci\u00f3n contra las amenazas a la identidad<\/p>\n Potencia tus habilidades<\/a><\/section>\n Las otras dos cargas \u00fatiles maliciosas se utilizan para extraer criptomonedas de forma il\u00edcita utilizando los recursos GPU de la m\u00e1quina. PhoenixMiner es un malware de miner\u00eda de criptomonedas Ethereum, mientras que lolMiner es un software de miner\u00eda de c\u00f3digo abierto<\/a> que se puede utilizar para extraer dos monedas virtuales al mismo tiempo.<\/p>\n En otro caso m\u00e1s de abuso de herramientas leg\u00edtimas, Check Point advierte sobre un nuevo tipo de ataque de phishing que aprovecha Google Looker Studio para crear sitios falsos de phishing de criptomonedas en un intento de eludir las protecciones.<\/p>\n “Los piratas inform\u00e1ticos lo est\u00e1n utilizando para crear p\u00e1ginas criptogr\u00e1ficas falsas dise\u00f1adas para robar dinero y credenciales”, dijo el investigador de seguridad Jeremy Fuchs. dicho<\/a>. <\/p>\n “Esta es una manera larga de decir que los piratas inform\u00e1ticos est\u00e1n aprovechando la autoridad de Google. Un servicio de seguridad de correo electr\u00f3nico observar\u00e1 todos estos factores y tendr\u00e1 mucha confianza en que no es un correo electr\u00f3nico de phishing y que proviene de Google”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\")
<\/a><\/center><\/section>\n![\"Ataques](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/1694261716_477_Los-ciberdelincuentes-utilizan-una-herramienta-de-instalacion-avanzada-legitima-como.jpg\" "\\"Ataques")
<\/div>\n