Categories
News

CloudSEK dice que el malware Lumma Stealer se propaga a dispositivos Windows a través de páginas falsas de verificación humana

[ad_1]

Recientemente se descubrió un malware que roba información llamado Lumma Stealer, que se distribuye a los usuarios a través de páginas falsas de verificación de identidad humana. Según investigadores de la empresa de ciberseguridad CloudSEK, malware Este virus se dirige a dispositivos Windows y está diseñado para robar información confidencial del dispositivo infectado. De manera alarmante, los investigadores han descubierto múltiples sitios de phishing que publican estas páginas de verificación falsas para engañar a los usuarios para que descarguen malware. Los investigadores de CloudSEK advirtieron a las organizaciones contra la implementación de soluciones de protección de terminales y la capacitación de empleados y usuarios sobre esta nueva táctica de ingeniería social.

El malware Lumma Stealer se propaga mediante una nueva técnica de phishing

Según CloudSEK un informeSe ha descubierto que varios sitios web activos propagan el malware Lumma Stealer. Esta tecnología fue descubierta por primera vez. ha sido descubierto Este proyecto lo inició Unit42 en Palo Alto Networks, una empresa de ciberseguridad, en 2011, pero ahora se cree que el alcance de la cadena de distribución es mucho mayor de lo que se pensaba anteriormente.

Los atacantes crearon varios sitios web maliciosos y agregaron un sistema de verificación de identidad humana falso, similar a la página de la Prueba de Turing pública completamente automatizada para diferenciar computadoras de humanos (CAPTCHA) de Google. Sin embargo, a diferencia de una página CAPTCHA normal donde los usuarios tienen que marcar algunas casillas o realizar tareas similares basadas en patrones para demostrar que no son un robot, las páginas falsas piden al usuario que ejecute algunos comandos inusuales.

En un caso, los investigadores descubrieron una página de verificación falsa que pedía a los usuarios que ejecutaran un script de PowerShell. Los scripts de PowerShell contienen una serie de comandos que se pueden ejecutar en el cuadro de diálogo Ejecutar. En este caso, los investigadores descubrieron que los comandos obtenían contenido de un archivo.txt alojado en un servidor remoto. Esto descargó y extrajo un archivo en un sistema Windows, infectándolo con el virus Lumma Stealer.

El informe también mencionó URL maliciosas que se observaron distribuyendo malware a usuarios desinformados. Sin embargo, esta no es la lista completa y es posible que haya más sitios llevando a cabo el ataque.

  • HXPS[://]El genio heroico 2b372e[.]Netificar[.]aplicación/por favor-verificar-z[.]HTML
  • HXPS[://]Vibedslaungos[.]B-CDN[.]neto/por favor verifique[.]HTML
  • HXPS[://]sdkjhfdskjnck[.]T3[.]AmazonAz[.]com/sistema-de-verificación-humana[.]HTML
  • HXPS[://]Validación humana476[.]B-CDN[.]Sistema de verificación de red/humano[.]HTML
  • HXPS[://]pub-9c4ec7f3f95c448b85e464d2b533aac1[.]pág.2[.]Desarrollar/verificar-el-sistema-humano[.]HTML
  • HXPS[://]Validación humana476[.]B-CDN[.]Sistema de verificación de red/humano[.]HTML
  • HXPS[://]nuevas zonas de video[.]Clics/corregir[.]HTML
  • HXPS[://]Capítulo 3[.]Delvidio libre[.]Haga clic/verifique el sistema humano[.]HTML
  • HXPS[://]nuevas zonas de video[.]Clics/corregir[.]HTML
  • HXPS[://]Vídeo offset gratis[.]Hacer clic

Los investigadores también notaron que se estaban utilizando redes de entrega de contenido (CDN) para difundir estas páginas de verificación falsas. Además, se ha observado que los atacantes utilizan cifrado base64 y manipulación del portapapeles para evadir la exposición. También es posible distribuir otros programas maliciosos utilizando la misma técnica, aunque hasta el momento no se han observado casos de este tipo.

Dado que el modo de ataque se basa en técnicas de phishing, ningún parche de seguridad puede evitar que los dispositivos se infecten. Sin embargo, existen algunas medidas que los usuarios y las organizaciones pueden tomar para protegerse contra el malware de robo de datos de Lumma.

Según el informe, se debe alertar a los usuarios y empleados sobre esta táctica fraudulenta para ayudarlos a no caer en ella. Además, las organizaciones deben implementar y mantener soluciones confiables de protección de endpoints para detectar y bloquear ataques basados ​​en PowerShell. Además, también es beneficioso actualizar y parchear los sistemas periódicamente para reducir las vulnerabilidades que el malware Lumma Stealer puede explotar.

Para obtener lo último Noticias de tecnología y ReseñasSiga Gadgets 360 en incógnita, Facebook, WhatsApp, Trapos y noticias de googlePara ver los últimos vídeos sobre herramientas y técnicas, suscríbete a nuestro canal. canal de youtubeSi quieres saber todo sobre los top influencers, sigue nuestra web ¿Quién es 360? en Instagram y YouTube.


El Moto G85 5G pronto estará disponible en dos nuevas opciones de color en India



[ad_2]

Source Article Link

Categories
News

Hackers vietnamitas utilizan 'Maorrisbot' para atacar a los indios en la estafa e-Challan de WhatsApp: CloudSEK

[ad_1]

WhatsApp Las estafas de e-Challan se dirigen a usuarios de la India que utilizan Maorrisbot, una nueva forma de malware tecnológico, según una empresa de ciberseguridad. Se trata de un tipo de fraude relativamente nuevo que, según se dice, está respaldado por un esfuerzo importante y organizado. Hasta ahora, se dice que el malware sólo afecta a los dispositivos Android y no se ha observado ningún impacto en iOS u otros dispositivos Apple. La estafa comienza como una típica estafa de phishing, pero una vez que el malware se implementa en el dispositivo de la víctima, actúa como un troyano.

Estafa de WhatsApp e-Challan que utiliza Maorrisbot para apuntar a usuarios indios

NubeSEK Nuevo un informe La empresa explica cómo los piratas informáticos de Vietnam están utilizando el nuevo programa malicioso llamado Maorrisbot. La compañía confirma que una campaña de malware de alta tecnología está dirigida a usuarios de Android en India a través de mensajes falsos de e-Challan difundidos a través de WhatsApp.

Primero, los estafadores se hacen pasar por la policía de Karnataka o la policía de Parivan y envían mensajes a las personas pidiéndoles que paguen la multa por infracción de tránsito. Estos mensajes contienen detalles del aviso falso de infracción de tráfico en línea y una URL o un archivo APK adjunto.

Los estafadores engañan a la víctima para que haga clic en el enlace para pagar la multa y, una vez que lo hacen, Maorrisbot se descarga en el dispositivo. Sin embargo, el informe indica que está disfrazada de aplicación legítima, lo que puede engañar a usuarios desprevenidos.

WhatsApp falso Ishalan Cloudsik WhatsApp

Mensaje fraudulento enviado por piratas informáticos a las víctimas
Crédito de la imagen: NubeSEK

Después de la instalación, el malware comienza a solicitar múltiples permisos, como acceso a contactos, llamadas telefónicas, SMS e incluso convertirse en la aplicación de mensajería predeterminada. Si el usuario permite estos permisos, el malware comienza a interceptar contraseñas de un solo uso y otros mensajes confidenciales. También puede utilizar los datos para iniciar sesión en las cuentas de comercio electrónico de la víctima y comprar y canjear tarjetas de regalo sin dejar rastro.

La empresa de ciberseguridad también descubrió que los estafadores utilizan una dirección IP proxy y mantienen un archivo de transacciones bajo para evitar ser detectados. Los investigadores creen que los atacantes son vietnamitas basándose en las conversaciones y la ubicación de la IP: la dirección IP del presunto hacker se rastreó hasta la provincia de Bắc Giang en Vietnam.

CloudSEK afirma que 4.451 dispositivos conocidos se vieron comprometidos después de instalar el malware. Según se informa, los piratas informáticos utilizaron 271 tarjetas de regalo únicas para robar más de 16 millones de rupias a las víctimas. Gujarat y Karnataka han sido identificadas como las regiones más afectadas.

La empresa de seguridad recomienda a los usuarios de Android que utilicen software antivirus y de malware conocido, limiten los permisos de las aplicaciones y los revisen periódicamente, e instalen aplicaciones sólo de fuentes confiables. Además, la compañía también destaca el monitoreo de actividades sospechosas de SMS, la actualización periódica del dispositivo y la habilitación de alertas para servicios bancarios y confidenciales.

[ad_2]

Source Article Link

Categories
News

El informe de CloudSEK destaca el aumento del software espía Pegasus falso tras las notificaciones de amenazas de Apple

[ad_1]

CloudSEK, una empresa de ciberseguridad, lideró la investigación tras la investigación de Apple Se han enviado notificaciones de amenazas. Para los usuarios de iPhone en 92 países el mes pasado, descubrió que poco después de que se emitiera el aviso, la web profunda y oscura experimentó un aumento en el software espía Pegasus falso. En particular, Apple no mencionó ningún actor de amenazas asociado con su advertencia, pero sí mencionó el software espía Pegasus de NSO Group como ejemplo. CloudSEK cree que esto podría llevar a que los estafadores vendan malware fraudulento como código fuente de Pegasus.

Detalles de la investigación de CloudSEK

Después de Apple advertencia En abril, los investigadores de CloudSEK comenzaron a profundizar en la web profunda y oscura, así como en la web superficial, para ver si el software espía Pegasus original estaba disponible para su compra o si los estafadores estaban usando su nombre para engañar a los compradores potenciales. en un informe Titulado “Detrás del aviso: descifrado de las alertas de Apple y el dilema del software espía”, la empresa de ciberseguridad afirmó que frecuenta plataformas de chat en Internet (IRC). Después de analizar casi 25.000 publicaciones sobre cablelos investigadores descubrieron que una parte importante de las publicaciones afirman vender el código fuente original de Pegasus.

Investigación sobre el telegrama de Cloudsek, Pegasus Cloudsek.

Investigación de CloudSEK sobre Telegram
Fuente de la imagen: CloudSEK

Estas publicaciones de alerta de venta siguieron el mismo patrón. Usé palabras como OSN Herramientas y Pegasus para atraer compradores. Al interactuar con más de 150 posibles proveedores de software espía Pegasus, el informe encontró que las muestras incluían código fuente, demostraciones en video en vivo del uso del malware y capturas de pantalla del código fuente. Todo esto se hizo con nombres referentes a Pegaso.

Los investigadores también encontraron seis especímenes con nombres únicos. Pegaso HNVC (Hidden Network Virtual Computing) se implementó en la Deep Web entre mayo de 2022 y enero de 2024, lo que indica la propagación de estas muestras entre los actores de amenazas. Casos similares también se encuentran en la web de superficie.

Resultados de CloudSEK

El grupo de ciberseguridad finalmente obtuvo 15 muestras y más de 30 indicadores de diversas fuentes. Sin embargo, descubrió que “casi todos estaban creando sus propias herramientas y scripts fraudulentos e ineficaces, y tratando de distribuirlos bajo el nombre de Pegasus para aprovechar el nombre de Pegasus y el nombre de NSO Group para obtener ganancias financieras significativas”.

Se cree que grupos de malos actores tomaron el entusiasmo creado por los informes de asesoramiento de Apple y múltiples informes de noticias que mencionaban el nombre Pegasus y lo utilizaron para vender muestras aleatorias de creación propia que llevaban el nombre Pegasus. Si bien este software espía sigue siendo malicioso y daña a las víctimas, es probable que no esté vinculado al grupo NSO o Pegasus.

El informe insta a realizar un examen crítico después de un incidente de ataque de amenaza para identificar adecuadamente a los actores de la amenaza, ya que puede ayudar a las empresas de ciberseguridad a identificar y sugerir refuerzos y garantizará que el pánico no se extienda entre las personas.


Los enlaces de afiliados pueden generarse automáticamente; consulte nuestro sitio web Declaración de ética Para detalles.

Para lo último Noticias de tecnología Y ReseñasSiga Gadgets 360 en X, Facebook, WhatsApp, Hilos Y noticias de Google. Para ver los últimos vídeos sobre gadgets y tecnología, suscríbete a nuestro canal. Canal de Youtube. Si quieres saber todo sobre los top influencers, sigue nuestra web ¿Quién es ese 360? en Instagram Y YouTube.


Según se informa, Google Photos obtendrá una nueva función que convierte videos en clips cinematográficos



La empresa OpenAI de Sam Altman firma un acuerdo de contenido con News Corp



[ad_2]

Source Article Link