03 de julio de 2024Sala de prensaAtaque cibernético / Malware Los investigadores de ciberseguridad han descubierto una campaña de ataque que tiene como objetivo a varias entidades israelíes con marcos de trabajo disponibles públicamente como Donut y Sliver. La campaña, que se cree que tiene una naturaleza muy específica, «aprovecha la infraestructura específica del objetivo y los sitios web personalizados de WordPress como mecanismo de entrega de carga útil, pero afecta a una variedad de entidades en verticales no relacionadas y se basa en malware de código abierto conocido», dijo HarfangLab en un informe la semana pasada. La empresa francesa está rastreando la actividad bajo el nombre Supposed Grasshopper. Es una referencia a un servidor controlado por el atacante («auth.economy-gov-il»).[.]El programa descargador, escrito en Nim, es rudimentario y se encarga de descargar el malware de segunda etapa desde el servidor de pruebas. Se distribuye por medio de un archivo de disco duro virtual (VHD) que se sospecha que se propaga a través de sitios personalizados de WordPress como parte de un esquema de descarga automática. La carga útil de segunda etapa recuperada del servidor es Donut, un marco de generación de shellcode, que sirve como conducto para implementar una alternativa de código abierto a Cobalt Strike llamada Sliver. «Los operadores también pusieron algunos esfuerzos notables en adquirir una infraestructura dedicada e implementar un sitio web realista de WordPress para entregar cargas útiles», dijeron los investigadores. «En general, esta campaña parece que podría ser el trabajo de un equipo pequeño». El objetivo final de la campaña es actualmente desconocido, aunque HarfangLab teorizó que también podría estar asociada con una operación legítima de prueba de penetración, una posibilidad que plantea su propio conjunto de preguntas en torno a la transparencia y la suplantación de identidad del gobierno israelí. Agencias. La revelación llega cuando el equipo de investigación de amenazas de SonicWall Capture Labs detalló una cadena de infección que emplea hojas de cálculo de Excel con trampas explosivas como punto de partida para lanzar un troyano conocido como Orcinius. «Se trata de un troyano de varias etapas que utiliza Dropbox y Google Docs para descargar cargas útiles de segunda etapa y mantenerse actualizado», dijo la compañía. «Contiene una macro VBA ofuscada que se conecta a Windows para monitorear las ventanas en ejecución y las pulsaciones de teclas y crea persistencia utilizando claves de registro». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.