{"id":949016,"date":"2023-09-12T19:16:00","date_gmt":"2023-09-12T19:16:00","guid":{"rendered":"https:\/\/teknomers.com\/es\/sofisticada-campana-de-phishing-que-implementa-el-agente-tesla-originbotnet-y-redline-clipper\/"},"modified":"2023-09-12T19:16:03","modified_gmt":"2023-09-12T19:16:03","slug":"sofisticada-campana-de-phishing-que-implementa-el-agente-tesla-originbotnet-y-redline-clipper","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/sofisticada-campana-de-phishing-que-implementa-el-agente-tesla-originbotnet-y-redline-clipper\/","title":{"rendered":"Sofisticada campa\u00f1a de phishing que implementa el agente Tesla, OriginBotnet y RedLine Clipper"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 de septiembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad de terminales\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Una sofisticada campa\u00f1a de phishing est\u00e1 utilizando un documento de Microsoft Word como se\u00f1uelo para distribuir una trifecta de amenazas, a saber, Agent Tesla, OriginBotnet y OriginBotnet, para recopilar una amplia gama de informaci\u00f3n de las m\u00e1quinas Windows comprometidas.<\/p>\n<p>&#8220;Un correo electr\u00f3nico de phishing entrega el documento de Word como un archivo adjunto, presentando una imagen deliberadamente borrosa y un reCAPTCHA falso para atraer al destinatario a hacer clic en \u00e9l&#8221;, dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/originbotnet-spreads-via-malicious-word-document\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Al hacer clic en la imagen, se entrega un cargador desde un servidor remoto que, a su vez, est\u00e1 dise\u00f1ado para distribuir OriginBotnet para el registro de teclas y recuperaci\u00f3n de contrase\u00f1as, RedLine Clipper para el robo de criptomonedas y Agent Tesla para recopilar informaci\u00f3n confidencial.<\/p>\n<p>El cargador, escrito en .NET, emplea una t\u00e9cnica llamada relleno binario a\u00f1adiendo bytes nulos para aumentar el tama\u00f1o del archivo a 400 MB en un intento de evadir la detecci\u00f3n por parte del software de seguridad.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/o6a5Vxgy\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La activaci\u00f3n del cargador desencadena un proceso de varias etapas para establecer persistencia en el host y extraer una biblioteca de v\u00ednculos din\u00e1micos (DLL) que es responsable de liberar las cargas \u00fatiles finales.<\/p>\n<p>Uno de ellos es RedLine Clipper, un ejecutable .NET para robar criptomonedas manipulando el portapapeles del sistema del usuario para sustituir la direcci\u00f3n de la billetera de destino por una controlada por el atacante.<\/p>\n<p>&#8220;Para llevar a cabo esta operaci\u00f3n, RedLine Clipper utiliza el &#8216;<a rel=\"nofollow noopener\" href=\"https:\/\/stackoverflow.com\/questions\/6458030\/clipboard-change-notification\" target=\"_blank\">OnClipboardChangeEventHandler<\/a>&#8216; para monitorear peri\u00f3dicamente los cambios en el portapapeles y verificar si la cadena copiada se ajusta a la expresi\u00f3n regular&#8221;, dijo Lin.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/1694546160_424_Sofisticada-campana-de-phishing-que-implementa-el-agente-Tesla-OriginBotnet.jpg\" alt=\"\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\"\/><\/div>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/cofense.com\/blog\/the-rise-of-agent-tesla-understanding-the-notorious-keylogger\/\" target=\"_blank\">Agente Tesla<\/a>por otro lado, es un troyano de acceso remoto (RAT) basado en .NET y un ladr\u00f3n de datos para obtener acceso inicial y filtrar informaci\u00f3n confidencial, como pulsaciones de teclas y credenciales de inicio de sesi\u00f3n utilizadas en navegadores web, a un servidor de comando y control (C2). a trav\u00e9s del protocolo SMTP.<\/p>\n<p>Tambi\u00e9n se entrega un nuevo malware denominado OriginBotnet, que incluye una amplia gama de funciones para recopilar datos, establecer comunicaciones con su servidor C2 y descargar complementos complementarios del servidor para ejecutar funciones de registro de teclas o recuperaci\u00f3n de contrase\u00f1as en puntos finales comprometidos.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/identity-attack-surface?source=inside\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfConsigui\u00f3 el MFA?  \u00bfPAM?  \u00bfProtecci\u00f3n de la cuenta de servicio?  Descubra qu\u00e9 tan bien equipada est\u00e1 realmente su organizaci\u00f3n contra las amenazas a la identidad<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/identity-attack-surface?source=inside\" target=\"_blank\" class=\"wn-button\">Potencia tus habilidades<\/a><\/section>\n<p>&#8220;El complemento PasswordRecovery recupera y organiza las credenciales de varios navegadores y cuentas de software&#8221;, dijo Lin.  &#8220;Registra estos resultados y los informa mediante solicitudes HTTP POST&#8221;.<\/p>\n<p>Vale la pena se\u00f1alar que la Unidad 42 de Palo Alto Networks, en septiembre de 2022, detall\u00f3 un sucesor del Agente Tesla llamado OriginLogger, que viene con caracter\u00edsticas similares a las de OriginBotnet, lo que sugiere que ambos podr\u00edan ser obra del mismo actor de amenazas.<\/p>\n<p>&#8220;Esta campa\u00f1a de ciberataque [&#8230;] &#8220;Involucr\u00f3 una compleja cadena de eventos&#8221;, dijo Fortinet. &#8220;Comenz\u00f3 con un documento de Word malicioso distribuido a trav\u00e9s de correos electr\u00f3nicos de phishing, lo que llev\u00f3 a las v\u00edctimas a descargar un cargador que ejecutaba una serie de cargas \u00fatiles de malware.  El ataque demostr\u00f3 t\u00e9cnicas sofisticadas para evadir la detecci\u00f3n y mantener la persistencia en los sistemas comprometidos&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/sophisticated-phishing-campaign.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 de septiembre de 2023\ue804THNSeguridad de terminales\/malware Una sofisticada campa\u00f1a de phishing est\u00e1 utilizando un documento de Microsoft<\/p>\n","protected":false},"author":1,"featured_media":949017,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10884,4661,3372,104926,4664,4662,4881,4668,201033,4654,201031,4659,4653,4655,204682,8178,57384,4666,4665,99159,201032,4188,4660],"class_list":["post-949016","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-agente","tag-ataques-ciberneticos","tag-campana","tag-clipper","tag-como-hackear","tag-filtracion-de-datos","tag-implementa","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-originbotnet","tag-phishing","tag-redline","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sofisticada","tag-software-malicioso-ransomware","tag-tesla","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/949016","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=949016"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/949016\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/949017"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=949016"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=949016"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=949016"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}