{"id":954285,"date":"2023-09-15T21:33:20","date_gmt":"2023-09-15T21:33:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-ciberdelincuentes-combinan-phishing-y-certificados-ev-para-entregar-cargas-utiles-de-ransomware\/"},"modified":"2023-09-15T21:33:23","modified_gmt":"2023-09-15T21:33:23","slug":"los-ciberdelincuentes-combinan-phishing-y-certificados-ev-para-entregar-cargas-utiles-de-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-ciberdelincuentes-combinan-phishing-y-certificados-ev-para-entregar-cargas-utiles-de-ransomware\/","title":{"rendered":"Los ciberdelincuentes combinan phishing y certificados EV para entregar cargas \u00fatiles de ransomware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 de septiembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Ransomware\/amenaza cibern\u00e9tica<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se ha observado que los actores de amenazas detr\u00e1s de los ladrones de informaci\u00f3n RedLine y Vidar recurren al ransomware a trav\u00e9s de campa\u00f1as de phishing que difunden cargas \u00fatiles iniciales firmadas con Validaci\u00f3n Extendida (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Extended_Validation_Certificate\" target=\"_blank\">veh\u00edculo el\u00e9ctrico<\/a>) certificados de firma de c\u00f3digo.<\/p>\n<p>&#8220;Esto sugiere que los actores de amenazas est\u00e1n agilizando las operaciones al hacer que sus t\u00e9cnicas sean multiprop\u00f3sito&#8221;, investigadores de Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/i\/redline-vidar-first-abuses-ev-certificates.html\" target=\"_blank\">dicho<\/a> en un nuevo an\u00e1lisis publicado esta semana.<\/p>\n<p>En el incidente investigado por la empresa de ciberseguridad, se dice que una v\u00edctima an\u00f3nima recibi\u00f3 primero un malware ladr\u00f3n de informaci\u00f3n con certificados de firma de c\u00f3digo EV, seguido de un ransomware que utilizaba la misma t\u00e9cnica de entrega.<\/p>\n<p>En el pasado, las infecciones por QakBot se han aprovechado <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/j\/where-is-the-origin-qakbot-uses-valid-code-signing-.html\" target=\"_blank\">muestras firmadas con certificados de firma de c\u00f3digo v\u00e1lidos<\/a> para eludir las protecciones de seguridad.<\/p>\n<p>Los ataques comienzan con correos electr\u00f3nicos de phishing que emplean se\u00f1uelos muy usados \u200b\u200bpara enga\u00f1ar a las v\u00edctimas para que ejecuten archivos adjuntos maliciosos que se hacen pasar por im\u00e1genes PDF o JPG pero que en realidad son ejecutables que activan el compromiso al ejecutarse.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/o6a5Vxgy\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Si bien la campa\u00f1a dirigida a la v\u00edctima entreg\u00f3 malware ladr\u00f3n en julio, una carga \u00fatil de ransomware lleg\u00f3 a principios de agosto despu\u00e9s de recibir un mensaje de correo electr\u00f3nico que conten\u00eda un archivo adjunto falso de queja de TripAdvisor (&#8220;TripAdvisor-Complaint.pdf.htm&#8221;), lo que desencaden\u00f3 una secuencia de pasos que culmin\u00f3 con el despliegue de ransomware.<\/p>\n<p>&#8220;En este punto, vale la pena se\u00f1alar que, a diferencia de las muestras del ladr\u00f3n de informaci\u00f3n que investigamos, los archivos utilizados para eliminar la carga \u00fatil del ransomware no ten\u00edan certificados EV&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Sin embargo, ambos provienen del mismo actor de amenazas y se propagan utilizando el mismo m\u00e9todo de entrega. Por lo tanto, podemos suponer una divisi\u00f3n del trabajo entre el proveedor de carga \u00fatil y los operadores&#8221;.<\/p>\n<p>El desarrollo se produce cuando IBM X-Force descubri\u00f3 nuevas campa\u00f1as de phishing que difunden una versi\u00f3n mejorada de un cargador de malware llamado DBatLoader, que se utiliz\u00f3 como conducto para distribuir FormBook y Remcos RAR a principios de este a\u00f1o.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/1694813599_359_Los-ciberdelincuentes-combinan-phishing-y-certificados-EV-para-entregar-cargas.jpg\" alt=\"Cargas \u00fatiles de ransomware\" border=\"0\" data-original-height=\"516\" data-original-width=\"728\" title=\"Cargas \u00fatiles de ransomware\"\/><\/div>\n<p>Las nuevas capacidades de DBatLoader facilitan la omisi\u00f3n, la persistencia y la inyecci\u00f3n de procesos de UAC, lo que indica que se est\u00e1 manteniendo activamente para eliminar programas maliciosos que pueden recopilar informaci\u00f3n confidencial y permitir el control remoto de los sistemas.<\/p>\n<p>El reciente conjunto de ataques, detectado desde finales de junio, est\u00e1 dise\u00f1ado para generar tambi\u00e9n malware b\u00e1sico como Agent Tesla y Warzone RAT.  La mayor\u00eda de los mensajes de correo electr\u00f3nico han se\u00f1alado a personas de habla inglesa, aunque tambi\u00e9n se han detectado correos electr\u00f3nicos en espa\u00f1ol y turco.<\/p>\n<p>&#8220;En varias campa\u00f1as observadas, los actores de amenazas aprovecharon suficiente control sobre la infraestructura de correo electr\u00f3nico para permitir que los correos electr\u00f3nicos maliciosos pasaran los m\u00e9todos de autenticaci\u00f3n de correo electr\u00f3nico SPF, DKIM y DMARC&#8221;, dijo la compa\u00f1\u00eda. <a rel=\"nofollow noopener\" href=\"https:\/\/securityintelligence.com\/posts\/email-campaigns-leverage-updated-dbatloader-deliver-rats-stealers\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;La mayor\u00eda de las campa\u00f1as aprovecharon OneDrive para organizar y recuperar cargas \u00fatiles adicionales, y una peque\u00f1a fracci\u00f3n utiliz\u00f3 la transferencia[.]sh o dominios nuevos\/comprometidos.&#8221;<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/itdr-saas?source=inside\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Sum\u00e9rgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield.  Descubra por qu\u00e9 la identidad es el nuevo punto final.  Asegura tu lugar ahora.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/itdr-saas?source=inside\" target=\"_blank\" class=\"wn-button\">Potencia tus habilidades<\/a><\/section>\n<p>En noticias relacionadas, Malwarebytes revel\u00f3 que una nueva campa\u00f1a de publicidad maliciosa se dirige a los usuarios que buscan el software de videoconferencia Webex de Cisco en motores de b\u00fasqueda como Google para redirigirlos a un sitio web falso que propaga el malware BATLOADER.<\/p>\n<p>BATLOADER, por su parte, establece contacto con un servidor remoto para descargar una carga \u00fatil cifrada de segunda etapa, que es otro conocido malware ladr\u00f3n y registrador de pulsaciones denominado DanaBot.<\/p>\n<p>Una t\u00e9cnica novedosa adoptada por el actor de amenazas es el uso de <a rel=\"nofollow noopener\" href=\"https:\/\/support.google.com\/google-ads\/answer\/7197008\" target=\"_blank\">URL de plantillas de seguimiento<\/a> como mecanismo de filtrado y redireccionamiento para tomar huellas dactilares y determinar posibles v\u00edctimas de inter\u00e9s.  Los visitantes que no cumplen con los criterios (por ejemplo, solicitudes que se originan en un entorno aislado) son dirigidos al sitio leg\u00edtimo de Webex.<\/p>\n<p>&#8220;Debido a que los anuncios parecen tan leg\u00edtimos, no hay duda de que la gente har\u00e1 clic en ellos y visitar\u00e1 sitios no seguros&#8221;, J\u00e9r\u00f4me Segura, director de inteligencia de amenazas de Malwarebytes, <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/09\/ongoing-webex-malvertising-drops-batloader\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;El tipo de software que se utiliza en esos anuncios indica que los actores de amenazas est\u00e1n interesados \u200b\u200ben v\u00edctimas corporativas que les proporcionar\u00e1n credenciales \u00fatiles para realizar m\u00e1s pruebas de pentesting en la red y, en algunos casos, implementar ransomware&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/cybercriminals-combine-phishing-and-ev.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 de septiembre de 2023\ue804THNRansomware\/amenaza cibern\u00e9tica Se ha observado que los actores de amenazas detr\u00e1s de los ladrones<\/p>\n","protected":false},"author":1,"featured_media":954286,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,20518,3018,13476,46975,4664,326,4662,4668,201033,36,4654,201031,4659,4653,4655,18,8178,4883,4666,4665,201032,30151,4660],"class_list":["post-954285","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-cargas","tag-certificados","tag-ciberdelincuentes","tag-combinan","tag-como-hackear","tag-entregar","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-phishing","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-utiles","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/954285","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=954285"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/954285\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/954286"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=954285"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=954285"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=954285"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}