{"id":455469,"date":"2023-02-11T00:09:36","date_gmt":"2023-02-11T00:09:36","guid":{"rendered":"https:\/\/magazineoffice.com\/esa-oferta-de-trabajo-criptografica-de-ensueno-probablemente-sea-solo-malware\/"},"modified":"2023-02-11T00:09:38","modified_gmt":"2023-02-11T00:09:38","slug":"esa-oferta-de-trabajo-criptografica-de-ensueno-probablemente-sea-solo-malware","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/esa-oferta-de-trabajo-criptografica-de-ensueno-probablemente-sea-solo-malware\/","title":{"rendered":"Esa oferta de trabajo criptogr\u00e1fica de ensue\u00f1o probablemente sea solo malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<p>Se ha encontrado a los piratas inform\u00e1ticos una vez m\u00e1s utilizando la cl\u00e1sica estafa de \u00abtrabajo criptogr\u00e1fico falso\u00bb para distribuir malware peligroso, advirtieron los expertos.<\/p>\n<p>Sin embargo, en lugar del habitual Grupo Lazarus de Corea del Norte, esta vez son los rusos los que intentan aprovecharse de los cr\u00e9dulos criptotrabajadores.  Los investigadores de seguridad cibern\u00e9tica de Trend Micro observaron recientemente a actores de amenazas rusos no identificados que se dirig\u00edan a los trabajadores de la industria de las criptomonedas, ubicados en Europa del Este.<\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<p>Enviar\u00edan correos electr\u00f3nicos invitando a las v\u00edctimas a considerar una nueva oferta de trabajo en una empresa de criptograf\u00eda.  El correo electr\u00f3nico llevar\u00eda dos archivos adjuntos, un archivo .txt aparentemente benigno (titulado \u00abPreguntas de la entrevista\u00bb) y otro obviamente malicioso (titulado \u00abCondiciones de la entrevista.word.exe\u00bb).<\/p>\n<h2 id=\"bring-your-own-vulnerable-driver\">Traiga su propio conductor vulnerable<\/h2>\n<p>El ataque es una campa\u00f1a de tres pasos: si la v\u00edctima ejecuta el ejecutable, descarga una segunda carga \u00fatil que abusa de una vulnerabilidad en un controlador Intel, rastreado como CVE-2015-2291.  Este m\u00e9todo, com\u00fanmente conocido como \u00abTraiga su propio controlador vulnerable\u00bb, permite a los actores de amenazas ejecutar comandos con privilegios de Kernel y utilizan esta capacidad para desactivar la protecci\u00f3n antivirus.<\/p>\n<p>Una vez que se deshabilita el antivirus, activan la descarga de la tercera carga \u00fatil, que es una variante del malware Stealerium, llamada Enigma.<\/p>\n<p>El malware, que se extrae de un canal privado de Telegram, es capaz de extraer informaci\u00f3n del sistema, tokens del navegador, contrase\u00f1as almacenadas (apunta pr\u00e1cticamente a todos los navegadores populares en la actualidad, incluidos Chrome, Edge, Opera, etc.), datos almacenados en Outlook, Telegram , Se\u00f1al, OpenVPN y m\u00e1s.  Adem\u00e1s, Enigma puede tomar capturas de pantalla y extraer contenido del portapapeles. <\/p>\n<p>Cuando obtiene lo que quiere, Enigma lo comprime todo en un archivo Data.zip y lo env\u00eda de vuelta a trav\u00e9s de Telegram.<\/p>\n<p>Si bien las ofertas de trabajo falsas suelen ser algo que hace Lazarus Group, Trend Micro cree que esta vez, el grupo es de origen ruso.  Aparentemente, uno de los servidores de registro aloja un panel Amadey C2, muy popular entre los ciberdelincuentes rusos.  Adem\u00e1s, el servidor ejecuta \u00abDeniska\u00bb, una variante de Linux utilizada casi exclusivamente por los rusos, y la zona horaria predeterminada del servidor tambi\u00e9n est\u00e1 configurada en Mosc\u00fa.<\/p>\n<p>V\u00eda: BleepingComputer<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-36<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha encontrado a los piratas inform\u00e1ticos una vez m\u00e1s utilizando la cl\u00e1sica estafa de \u00abtrabajo criptogr\u00e1fico falso\u00bb para distribuir malware peligroso, advirtieron los expertos. Sin embargo, en lugar del&hellip;<\/p>\n","protected":false},"author":1,"featured_media":162991,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[22525,7627,7555,848,1548,4343,1101,1126,2516],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/455469"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=455469"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/455469\/revisions"}],"predecessor-version":[{"id":455470,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/455469\/revisions\/455470"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/162991"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=455469"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=455469"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=455469"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}