{"id":51399,"date":"2024-04-29T11:21:02","date_gmt":"2024-04-29T15:51:02","guid":{"rendered":"https:\/\/elmundodelosnegocios.com.do\/v1\/?p=51399"},"modified":"2024-04-29T11:21:03","modified_gmt":"2024-04-29T15:51:03","slug":"apunta-nueva-campana-ciberespionaje-dunequixote-apunta-entidades-gubernamentales-todo-el-mundo","status":"publish","type":"post","link":"https:\/\/elmundodelosnegocios.com.do\/v1\/apunta-nueva-campana-ciberespionaje-dunequixote-apunta-entidades-gubernamentales-todo-el-mundo\/","title":{"rendered":"Apunta nueva campa\u00f1a ciberespionaje DuneQuixote apunta entidades gubernamentales todo el mundo"},"content":{"rendered":"\n

Investigadores de Kaspersky han descubierto una campa\u00f1a maliciosa en curso que inicialmente apuntaba a una entidad gubernamental en Medio Oriente. Una investigaci\u00f3n adicional revel\u00f3 m\u00e1s de 30 muestras de dropper<\/em> del malware empleadas activamente en esta campa\u00f1a, presuntamente expandiendo la victimolog\u00eda a APAC, Europa y Am\u00e9rica del Norte. Apodado DuneQuixote, los fragmentos de malware incorporan trozos tomados de poemas en espa\u00f1ol para mejorar la persistencia y evadir la detecci\u00f3n, con el objetivo final de realizar acciones de ciberespionaje.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

En febrero de 2024, como parte del monitoreo continuo de actividad maliciosa, los expertos de Kaspersky descubrieron una campa\u00f1a de ciberespionaje previamente desconocida y dirigida a una entidad gubernamental en Medio Oriente. El atacante espiaba clandestinamente al objetivo y recopilaba datos sensibles utilizando una serie de herramientas sofisticadas dise\u00f1adas para el sigilo y la persistencia.<\/p>\n\n\n\n

Los dropper<\/em>s iniciales del malware se disfrazan como archivos de instalaci\u00f3n manipulados de una herramienta leg\u00edtima llamada Total Commander. Dentro de estos dropper<\/em>s, se incrustan fragmentos de poemas en espa\u00f1ol, con diferentes fragmentos de un ejemplo a otro. Esta variaci\u00f3n tiene como objetivo alterar la firma de cada muestra, haciendo que la detecci\u00f3n mediante metodolog\u00edas tradicionales sea m\u00e1s desafiante.<\/p>\n\n\n\n

Incrustado dentro del dropper<\/em> hay un c\u00f3digo malicioso dise\u00f1ado para descargar cargas \u00fatiles adicionales en forma de una puerta trasera llamada CR4T. Estas puertas traseras, desarrolladas en C\/C++ y GoLang, tienen como objetivo conceder a los atacantes acceso a la m\u00e1quina de la v\u00edctima. Es importante destacar que la variante de GoLang utiliza la API de Telegram para comunicaciones C2, implementando enlaces p\u00fablicos de API de Telegram de GoLang.<\/p>\n\n\n\n

\u201cLas variaciones del malware muestran la adaptabilidad y el ingenio de los actores de amenazas detr\u00e1s de esta campa\u00f1a. Por el momento, hemos descubierto dos implantes de este tipo, pero sospechamos firmemente de la existencia de m\u00e1s<\/em>\u201c, comenta Sergey Lozhkin, investigador principal de seguridad en el Equipo Global de Investigaci\u00f3n y An\u00e1lisis de Kaspersky.<\/strong><\/p>\n\n\n\n

La telemetr\u00eda de Kaspersky identific\u00f3 una v\u00edctima en Medio Oriente tan pronto como en febrero de 2024. Adem\u00e1s, se produjeron varias subidas del mismo malware a un servicio de escaneo de malware semi-p\u00fablico a finales de 2023, con m\u00e1s de 30 env\u00edos. Se sospecha que otras fuentes que podr\u00edan ser nodos de salida de VPN se encuentran en Corea del Sur, Luxemburgo, Jap\u00f3n, Canad\u00e1, los Pa\u00edses Bajos y los Estados Unidos.<\/p>\n\n\n\n

Para evitar ser v\u00edctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:<\/p>\n\n\n\n