Nuevo Zhong Stealer infecta a empresas de tecnología financiera

Iniciado por AXCESS, Marzo 04, 2025, 11:03:34 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 04, 2025, 11:03:34 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva amenaza de malware llamada Zhong Stealer ha surgido de China y ya se está infiltrando en las empresas a través de un punto de entrada inesperado: los chats de atención al cliente. Este malware que roba información se está infiltrando actualmente en las empresas de tecnología financiera explotando a los agentes de soporte, pero la mayor preocupación es su adaptabilidad.

Zhong Stealer se puede reutilizar fácilmente para atacar a cualquier industria que dependa de equipos de atención al cliente: hotelería, atención médica, comercio minorista y más.

Echemos un vistazo más de cerca a cómo opera este malware.

Cómo funciona Zhong Stealer

Los cibercriminales detrás de Zhong Stealer no se basan en exploits complejos ni en herramientas de piratería de alta tecnología para entrar en las empresas. En cambio, utilizan una estafa que requiere poco esfuerzo, pero es muy eficaz y que se aprovecha de la naturaleza humana: urgencia, confusión y frustración.

Como señalaron los investigadores de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el ataque se desarrolla según un patrón calculado y repetitivo diseñado para desgastar a los agentes de atención al cliente:

Aparece un nuevo ticket de soporte, pero la cuenta del remitente es nueva y está completamente vacía. No hay historial, ni interacciones pasadas, solo una vaga solicitud de ayuda.

El atacante escribe en un idioma que no funciona, generalmente en chino, lo que dificulta seguir la conversación. Esto agrega un elemento de confusión y hace que la solicitud parezca más urgente.

Se adjunta un archivo ZIP, que supuestamente contiene capturas de pantalla u otros detalles necesarios para la solicitud. El atacante insiste en que el agente de soporte debe abrirlo para comprender el problema.

Si el agente duda, el atacante se frustra cada vez más y lo presiona para que actúe.

Archivos ZIP sospechosos con caracteres chinos


La ejecución de Zhong Stealer en un entorno seguro y aislado, como el sandbox de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, reveló su comportamiento casi de inmediato.

Archivo malicioso analizado dentro del sandbox No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Después de ejecutar el análisis, podemos ver en la esquina superior derecha de la pantalla que el sandbox No tienes permitido ver enlaces. Registrate o Entra a tu cuenta marcó inmediatamente el archivo y sus actividades como maliciosos, resaltándolos en rojo.

Esto permite a los equipos de seguridad reconocer amenazas al instante sin necesidad de conocimientos técnicos profundos: la forma más rápida y sencilla de determinar si un archivo o enlace sospechoso contiene malware.

Actividad maliciosa detectada por el sandbox No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Durante la sesión de análisis, también podemos ver cómo Zhong Stealer descarga componentes adicionales para continuar el ataque:

Zhong Stealer descarga componentes adicionales dentro del sandbox No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Después de todos los preparativos, Zhong Stealer comienza con el robo de credenciales y la exfiltración de datos. Al hacer clic en el comportamiento malicioso dentro del sandbox de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, podemos ver todas las técnicas y tácticas principales utilizadas por Zhong Stealer.

Análisis detallado del comportamiento malicioso dentro del sandbox de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


A partir de este análisis, podemos ver cómo Zhong Stealer mantiene su persistencia en un sistema infectado. Su método principal es agregar una clave de registro para asegurarse de que el malware se ejecute automáticamente cada vez que se inicia el sistema.

Si se elimina la entrada de registro, Zhong tiene un plan de respaldo: utiliza una tarea programada para reiniciarse, lo que dificulta su eliminación total.

Descubren mecanismo de persistencia en un entorno seguro


Una vez que se asegura la persistencia, Zhong cambia su enfoque al objetivo real: recolectar credenciales y datos de extensiones del navegador.

Al apuntar a la información de inicio de sesión almacenada, puede robar datos comerciales y personales confidenciales antes de que la víctima se dé cuenta de que han sido comprometidos.

Zhong Stealer comienza a escanear Edge para robar datos confidenciales


Finalmente, después de robar datos confidenciales, Zhong se conecta a su servidor de comando y control (C2) en Hong Kong para enviar la información robada a los atacantes.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario