{"id":7183,"date":"2022-10-24T16:50:50","date_gmt":"2022-10-24T21:50:50","guid":{"rendered":"https:\/\/etek.com\/es\/?p=6227"},"modified":"2022-10-24T16:50:50","modified_gmt":"2022-10-24T21:50:50","slug":"microsoft-y-vmware-advierten-sobre-ataques-de-malware-a-traves-de-chromeloader","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/microsoft-y-vmware-advierten-sobre-ataques-de-malware-a-traves-de-chromeloader\/","title":{"rendered":"Microsoft y VMware advierten sobre ataques de malware a trav\u00e9s de Chromeloader"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"7183\" class=\"elementor elementor-7183\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-71420ae7 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"71420ae7\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-6a5cd6e7\" data-id=\"6a5cd6e7\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-5a32c668 elementor-widget elementor-widget-text-editor\" data-id=\"5a32c668\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<!-- wp:paragraph -->\n<p><strong>Fabian Caballero<\/strong> Cyber Intelligence Engineer<\/p>\n<!-- \/wp:paragraph -->\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-b9a24cd elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"b9a24cd\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-9be3bca\" data-id=\"9be3bca\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-15c3e66 elementor-widget elementor-widget-text-editor\" data-id=\"15c3e66\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<h6 style=\"text-align: center;\"><strong>Las reconocidas empresas Vmware y Microsoft se encuentran en estado de alerta, debido a la identificaci\u00f3n de una campa\u00f1a de malware distribuido a trav\u00e9s de Chromeloader la cual se encuentra en curso.<\/strong><\/h6>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-22bde5c elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"22bde5c\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-33 elementor-top-column elementor-element elementor-element-5394440\" data-id=\"5394440\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-e95728a elementor-widget elementor-widget-image\" data-id=\"e95728a\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/10\/Captura-3.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t<div class=\"elementor-column elementor-col-66 elementor-top-column elementor-element elementor-element-e89a533\" data-id=\"e89a533\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-ee58637 elementor-widget elementor-widget-text-editor\" data-id=\"ee58637\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Chromeloader es conocido por \u201csecuestrar\u201d el navegador web de la v\u00edctima instalando extensiones maliciosas sobre estos y redirigiendo el tr\u00e1fico de los usuarios hacia objetivos previamente definidos por el atacante. Este, por medio del uso de Powershell utiliza c\u00f3digo malicioso para inyectarse en el navegador web y agregar la respectiva extensi\u00f3n en el (NW.js). Por medio de diversas investigaciones que se han venido realizando desde el mes de mayo se ha podido hacer seguimiento a las variantes que ha presentado este tipo de malware.<\/p>\n<p>En el mes de mayo investigadores de Red Canary identificaron como una campa\u00f1a de publicidad maliciosa propagaba el malware en menci\u00f3n con la finalidad de que la v\u00edctima accediera a sitios publicitarios para realizar fraude de clics (generaci\u00f3n de clics con intenci\u00f3n maliciosa o fraudulenta para generar ganancias en diferentes sitios web).<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-867c549 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"867c549\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-a7c0dbe\" data-id=\"a7c0dbe\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-783f9cb elementor-widget elementor-widget-text-editor\" data-id=\"783f9cb\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Posteriormente, en el mes de julio los investigadores de Unit 42 de Palo Alto establecieron que, adem\u00e1s de mantener sus funciones de adware (software que muestra u ofrece publicidad), Chromeloader intentaba robar los datos almacenados en los navegadores.<\/p>\n<p>Finalizando la semana anterior Microsoft public\u00f3 un hilo informativo en Twitter donde advert\u00eda sobre una campa\u00f1a asociada a fraude de clics que se encontraba en curso, esta fue atribuida al grupo DEV-0796 quien utiliz\u00f3 Chromeloader para infectar a las v\u00edctimas.<\/p>\n<p>Por \u00faltimo, el pasado lunes Vmware gener\u00f3 un informe t\u00e9cnico detallado en donde realiza una descripci\u00f3n de diferentes variantes de Chromeloader utilizadas entre agosto y lo que va corrido de septiembre, en este an\u00e1lisis destac\u00f3 que son cada vez m\u00e1s potentes los payloads que se est\u00e1n ejecutando.<\/p>\n<p>Seg\u00fan el an\u00e1lisis realizado a las nuevas variantes estas se distribuyen por medio de archivos ISO, los cuales se descargan al dar clic en comentarios de Youtube y anuncios maliciosos, una vez ejecutado el ISO se instala una webkit como extensi\u00f3n en el navegador (NW.js), esta contiene los payloads previamente cargados por el atacante. Tambi\u00e9n se pudo apreciar como al ejecutar la ISO en sistemas operativos como Windows 10 y posteriores se genera de manera autom\u00e1tica una nueva \u201cunidad de disco\u201d en el equipo a la cual se le asigna una letra como si fuera una unidad t\u00edpica, gracias a esto el atacante puede distribuir varios archivos de malware a la vez con mayor facilidad. Por lo general la ISO contiene 4 archivos, un .ZIP que almacena el malware, un archivo ICON, un archivo .bat que instala el malware y por \u00faltimo un acceso directo que ejecuta el .bat.<\/p>\n<p>Otras variantes importantes que fueron estudiadas fueron algunas versiones falsas de programas como OpenSubtitles (programa para buscar subt\u00edtulos de pel\u00edculas) y Fibmusic.exe (reproductor de m\u00fasica), adem\u00e1s, el uso de Chromeloader para descargar el Ransomware Enigma, el cual una vez abierto el ISO que lo contiene correr\u00e1 un javascript que activar\u00e1 su ejecuci\u00f3n. La evoluci\u00f3n de este ataque est\u00e1 generando gran preocupaci\u00f3n ya que ha surgido como un nuevo m\u00e9todo para burlar los sistemas, dejando de lado los ataques enfocados en las macros de Microsoft, los cuales fueron deshabilitados por la entidad, se espera que en los pr\u00f3ximos meses se sigan identificando nuevas variantes, por lo que se invita a las empresas a ser muy cuidadosas con las descargas de cualquier tipo de utilidad a trav\u00e9s de los navegadores utilizados en los equipos.<\/p>\n<h6>Recomendaciones:<\/h6>\n<ul>\n<li><strong>\u00a0<\/strong>Restringir las descargas de extensiones y utilidades en los equipos de la compa\u00f1\u00eda o en casos espec\u00edficos verificar que dichas extensiones sean legitimas antes de instalarlas.<\/li>\n<\/ul>\n<h6>Fuentes:<\/h6>\n<ul>\n<li><strong>\u00a0<\/strong><a href=\"https:\/\/securityaffairs.co\/wordpress\/135949\/malware\/chromeloader-malware-campaigns.html\">https:\/\/securityaffairs.co\/wordpress\/135949\/malware\/chromeloader-malware-campaigns.html<\/a><\/li>\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/vmware-microsoft-warn-of-widespread-chromeloader-malware-attacks\/\">https:\/\/www.bleepingcomputer.com\/news\/security\/vmware-microsoft-warn-of-widespread-chromeloader- malware-attacks\/<\/a><\/li>\n<\/ul>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-fbfa104 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"fbfa104\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-1008fd2\" data-id=\"1008fd2\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-50356b7 elementor-widget elementor-widget-image\" data-id=\"50356b7\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/05\/Imagen2.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-e4e5013 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"e4e5013\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-77ab00a\" data-id=\"77ab00a\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-ceedfeb elementor-widget elementor-widget-text-editor\" data-id=\"ceedfeb\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p><a href=\"mailto:Info@etek.com\">Info@etek.com<\/a><\/p>\n<h6>Colombia\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 Per\u00fa\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 India<\/h6>\n<p>+57 (1) 2571520\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 +51\u00a0(1) 6124343\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0<span style=\"letter-spacing: 0px;\">+91-9873451221<\/span><\/p>\n<p>\u00a0<\/p>\n<h6>\u00a0<\/h6>\n<p>\u00a0<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Fabian Caballero Cyber Intelligence Engineer Las reconocidas empresas Vmware y Microsoft se encuentran en estado de alerta, debido a la identificaci\u00f3n de una campa\u00f1a de malware distribuido a trav\u00e9s de Chromeloader la cual se encuentra en curso. Chromeloader es conocido por \u201csecuestrar\u201d el navegador web de la v\u00edctima instalando extensiones maliciosas sobre estos y redirigiendo [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":6228,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/7183"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=7183"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/7183\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=7183"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=7183"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=7183"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}