El malware se esconde en Google Docs

Iniciado por AXCESS, Febrero 19, 2025, 11:22:19 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 19, 2025, 11:22:19 PM Ultima modificación: Febrero 19, 2025, 11:24:14 PM por AXCESS


Los piratas informáticos ahora utilizan Google Docs y otras plataformas de confianza para controlar en secreto malware que roba contraseñas, registros de chat y datos confidenciales, sin que los usuarios se den cuenta.

El malware Infostealer es particularmente peligroso, ya que, una vez implementado, se ejecuta discretamente en segundo plano, lo que dificulta especialmente su detección.

Este tipo de software malicioso está diseñado específicamente para extraer información confidencial, como contraseñas, números de tarjetas de crédito, historial de navegación y otra información valiosa de un sistema infectado y transferirla a los ciberdelincuentes.

Los Infostealers generalmente se infiltran en los sistemas a través de correos electrónicos de phishing, archivos adjuntos maliciosos o sitios web comprometidos. A menudo, los Infostealers se disfrazan de programas ilegales, como cracks y keygens.

Página para distribuir Infostealer camuflado en crack. Fuente: ASEC


El ladrón de información LummaC2 ha sido un campeón en este campo. Opera como malware como servicio desde al menos agosto de 2022 y a menudo se ha distribuido para robar datos de los navegadores, incluidas credenciales, cookies, autocompletado y datos de extensiones del navegador.

Recientemente, AhnLab Security Intelligence Center (ASEC) ha identificado que, además de Lumma, el ladrón de información ACRStealer ha experimentado un aumento en su distribución.

Presentado por primera vez a mediados de 2024, ACR Stealer es un ladrón de información que se vende como malware como servicio (MaaS) en foros de ciberdelincuencia de habla rusa. Es capaz de recopilar información del sistema, credenciales almacenadas, cookies del navegador web, billeteras de criptomonedas y archivos de configuración de varios programas.

A diferencia de otros ladrones de información, ACRStealer adopta un enfoque más flexible para utilizar su intermediario. Para evitar ser detectado, en lugar de codificar directamente la dirección de comando y control (C2) real en el malware, la almacena y distribuye utilizando plataformas legítimas.

Se ha detectado que ACRStealer utiliza plataformas como Google Docs. Los atacantes codifican el dominio C2 real en Base64 y el malware lo recupera y decodifica para llevar a cabo acciones maliciosas. Este método se denomina Dead Drop Resolver (DDR).

La lista completa de servicios que ACRStealer ha utilizado como intermediario C2 son los siguientes:

Steam
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Google Docs (Presentación)
Google Docs (Formulario)

Google Docs (Presentación) utilizado como intermediario C2. Fuente: ASEC


El malware roba una amplia gama de información, incluyendo:

Datos del navegador
Archivos de texto
Archivos de texto
Credenciales FTP
Registros de chat
Correos electrónicos
Detalles del programa de acceso remoto
Información de VPN
Gestores de contraseñas
Bases de datos
Datos de extensiones del navegador

Una nueva ola de ataques de robo de información

Los "infostealers" han sido un dolor de cabeza para los especialistas en ciberseguridad durante un tiempo. Según la empresa israelí de ciberseguridad Hudson Rock, cientos de computadoras dentro del Ejército de EE. UU., la Marina y los principales contratistas de defensa, como Lockheed Martin, Boeing y Honeywell, están activamente infectadas con malware de robo de información.

A pesar de invertir miles de millones en redes de inteligencia clasificadas y medidas avanzadas de ciberseguridad, las credenciales militares y los registros del sistema se pueden comprar por tan solo $ 10 por computadora.

Hudson Rock descubrió que 398 empleados de Honeywell, un importante contratista de defensa y aeroespacial de EE. UU., estaban infectados con malware de robo de información. Además, se están filtrando datos de docenas de empleados de Boeing (66), Lockheed Martin (55), Leidos (55) y otros contratistas de defensa.

Una investigación de la Unidad 42 de Palo Alto Networks reveló que los ladrones de información, que suelen venderse como malware como servicio, son la amenaza más utilizada por los usuarios de Mac y MacBook. Solo tres familias de malware predominantes dominan el mercado.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario