{"id":684090,"date":"2023-06-15T15:43:24","date_gmt":"2023-06-15T15:43:24","guid":{"rendered":"https:\/\/magazineoffice.com\/cuidado-un-investigador-de-seguridad-falso-esta-impulsando-malware-disfrazado-de-poc-de-dia-cero\/"},"modified":"2023-06-15T15:43:27","modified_gmt":"2023-06-15T15:43:27","slug":"cuidado-un-investigador-de-seguridad-falso-esta-impulsando-malware-disfrazado-de-poc-de-dia-cero","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/cuidado-un-investigador-de-seguridad-falso-esta-impulsando-malware-disfrazado-de-poc-de-dia-cero\/","title":{"rendered":"Cuidado: un investigador de seguridad falso est\u00e1 impulsando malware disfrazado de PoC de d\u00eda cero"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<p>Los investigadores de ciberseguridad han encontrado m\u00faltiples cuentas en GitHub y plataformas de redes sociales que afirman distribuir exploits de prueba de concepto (PoC) para una serie de vulnerabilidades de d\u00eda cero supuestamente encontradas en software popular.  Sin embargo, una inspecci\u00f3n m\u00e1s profunda descubri\u00f3 que todas las cuentas eran falsas y que los PoC no eran m\u00e1s que malware oculto.<\/p>\n<p>La noticia fue dada a conocer por investigadores de ciberseguridad de VulnCheck, que dijeron que actores de amenazas no identificados crearon una red de cuentas tanto en GitHub como en Twitter, pertenecientes a falsos investigadores de ciberseguridad.  Estas cuentas usaban im\u00e1genes de perfil pertenecientes a verdaderos expertos en seguridad, lo que llev\u00f3 a VulnCheck a creer que quienquiera que estuviera detr\u00e1s del ataque hizo todo lo posible para establecer cierta credibilidad.<\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<p>En estas cuentas, los expertos falsos compart\u00edan exploits de prueba de concepto para supuestas vulnerabilidades de d\u00eda cero encontradas en software popular como Signal, Discord, Google Chrome o Microsoft Exchange Server. <\/p>\n<p>\u00abLas personas que crean estos repositorios han hecho un gran esfuerzo para que parezcan leg\u00edtimos mediante la creaci\u00f3n de una red de cuentas y perfiles de Twitter, fingiendo ser parte de una empresa inexistente llamada High Sierra Cyber \u200b\u200bSecurity\u00bb, se\u00f1al\u00f3 VulnCheck. <\/p>\n<p>Los delincuentes usar\u00edan la cuenta para distribuir un script de Python que descarga un binario malicioso y lo ejecuta en el punto final de destino.  El malware funcion\u00f3 tanto en Windows como en Linux, se dijo. <\/p>\n<p>En el momento de la publicaci\u00f3n, se han eliminado todos los repositorios maliciosos de GitHub, pero aqu\u00ed hay una lista por si acaso: <\/p>\n<ul>\n<li>github.com\/AKuzmanHSCS\/Microsoft-Exchange-RCE<\/li>\n<li>github.com\/BAdithyaHSCS\/Exchange-0-Day<\/li>\n<li>github.com\/DLandonHSCS\/Discord-RCE<\/li>\n<li>github.com\/GSandersonHSCS\/discord-0-day-fix<\/li>\n<li>github.com\/MHadzicHSCS\/Chrome-0-day<\/li>\n<li>github.com\/RShahHSCS\/Discord-0-Day-Exploit<\/li>\n<li>github.com\/SsankkarHSCS\/Chromium-0-Day<\/li>\n<\/ul>\n<p>Estas cuentas de Twitter, por otro lado, a\u00fan no se han eliminado:<\/p>\n<ul>\n<li>twitter.com\/AKuzmanHSCS<\/li>\n<li>twitter.com\/DLandonHSCS<\/li>\n<li>twitter.com\/GSandersonHSCS<\/li>\n<li>twitter.com\/MHadzicHSCS<\/li>\n<\/ul>\n<p>Teniendo en cuenta la cantidad de esfuerzo puesto en la campa\u00f1a, el resultado final no tiene mucho sentido, insin\u00faan los investigadores, porque el malware que se entreg\u00f3 fue \u00abmuy obvio\u00bb, dijeron.  \u00abNo est\u00e1 claro si han tenido \u00e9xito, pero dado que han continuado con esta v\u00eda de ataques, parece que creen que tendr\u00e1n \u00e9xito\u00bb. <\/p>\n<h2 id=\"analysis-why-does-it-matter\">An\u00e1lisis: \u00bfPor qu\u00e9 importa?<\/h2>\n<p>Este es un ataque a la cadena de suministro muy elaborado, cuyas consecuencias podr\u00edan haber sido dolorosas.  Podr\u00eda decirse que GitHub es el repositorio de c\u00f3digo fuente abierto m\u00e1s grande del mundo, y los productos que se encuentran all\u00ed son componentes b\u00e1sicos de software utilizados por innumerables organizaciones a medida que desarrollan sus soluciones y herramientas.  Si un actor de amenazas logra comprometer un repositorio existente o logra colarse a trav\u00e9s de un c\u00f3digo malicioso, puede filtrarse a numerosos software, lo que te\u00f3ricamente compromete miles de puntos finales.  Dependiendo del tipo de malware distribuido de esta manera, los actores de amenazas podr\u00edan tener en sus manos datos confidenciales, podr\u00edan participar en ataques de robo de identidad y ransomware, as\u00ed como fraude electr\u00f3nico. <\/p>\n<p>La popularidad de GitHub lo convirti\u00f3 en uno de los principales objetivos de los ataques a la cadena de suministro.  A menudo, los actores de amenazas participar\u00e1n en \u00abtyposquatting\u00bb, una forma de ataque cibern\u00e9tico en el que crear\u00edan un paquete malicioso con un nombre casi id\u00e9ntico a uno existente.  De esa manera, un desarrollador con exceso de trabajo o distra\u00eddo podr\u00eda usar el incorrecto y comprometer sus sistemas, as\u00ed como los de sus clientes. <\/p>\n<p>Los ataques a la cadena de suministro son comunes y muy destructivos.  Uno de los mejores ejemplos del enorme potencial de los ataques a la cadena de suministro es el ataque de SolarWinds, que ocurri\u00f3 a fines de 2020. En ese entonces, una actualizaci\u00f3n de uno de los productos de SolarWinds estaba contaminada con malware, que luego se envi\u00f3 a sus usuarios, algunos de que inclu\u00eda empresas de alto perfil e instituciones gubernamentales. <\/p>\n<p>Fijado en piratas inform\u00e1ticos rusos patrocinados por el estado, se descubri\u00f3 que el ataque afect\u00f3 a nueve agencias federales, adem\u00e1s de muchas empresas del sector privado, el an\u00e1lisis posterior ha <u>mostrado<\/u>.<\/p>\n<h2 id=\"what-have-others-said-about-it\">\u00bfQu\u00e9 han dicho otros al respecto?<\/h2>\n<p>En su redacci\u00f3n, <u>computadora pitido<\/u> dice que a\u00fan se desconoce qu\u00e9 hace realmente el malware que se distribuye.  La publicaci\u00f3n destaca la importancia de tener cuidado al descargar scripts, especialmente de repositorios desconocidos, ya que \u00absiempre es posible la suplantaci\u00f3n\u00bb.  Adem\u00e1s, BleepingComputer recuerda a sus lectores sobre m\u00faltiples ataques de alto perfil a la cadena de suministro que ocurrieron en el pasado, como la campa\u00f1a de enero de 2021 de los actores de amenazas patrocinados por el estado de Corea del Norte, Lazarus. <\/p>\n<p>En aquel entonces, el grupo cre\u00f3 personajes falsos de investigadores de vulnerabilidades en las redes sociales para atacar a los investigadores con malware.  M\u00e1s tarde ese a\u00f1o, tambi\u00e9n intentaron distribuir una versi\u00f3n troyana del software de ingenier\u00eda inversa IDA Pro de esta manera. <\/p>\n<p><u>OSC en l\u00ednea<\/u>, por otro lado, lo calific\u00f3 como una campa\u00f1a de ataque \u00abinusual\u00bb, que se dirige principalmente a los investigadores de seguridad.  Tambi\u00e9n dice que lo m\u00e1s probable es que sea el trabajo de un actor de amenazas persistentes avanzadas (APT) que busca obtener informaci\u00f3n confidencial que generalmente se encuentra en los puntos finales que pertenecen a los investigadores de seguridad cibern\u00e9tica.  Tambi\u00e9n agrega que los investigadores de seguridad experimentados \u00abgeneralmente toman precauciones cuando trabajan con c\u00f3digo potencialmente malicioso\u00bb, lo que sugiere que atacar a los investigadores ofreciendo PoC falsos podr\u00eda no ser la mejor de las ideas.  \u201cSi est\u00e1n probando un exploit de prueba de concepto, lo m\u00e1s probable es que suceda en un sistema de prueba dentro de una m\u00e1quina virtual que est\u00e1 bien monitoreada y luego borrada\u201d, concluyeron.  <\/p>\n<p>V\u00eda: The Hacker News<\/p>\n<\/div>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-36<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han encontrado m\u00faltiples cuentas en GitHub y plataformas de redes sociales que afirman distribuir exploits de prueba de concepto (PoC) para una serie de vulnerabilidades de&hellip;<\/p>\n","protected":false},"author":1,"featured_media":517139,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[8136,1284,865,22116,148,5415,29456,17377,848,5662,388],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/684090"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=684090"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/684090\/revisions"}],"predecessor-version":[{"id":684091,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/684090\/revisions\/684091"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/517139"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=684090"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=684090"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=684090"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}