Área clientes

Campañas de Malware Chinas: HiddenGh0st, Winos y kkRAT Atacan a Usuarios Mediante SEO y GitHub

Las campañas de malware dirigidas a usuarios de habla china están intensificándose, utilizando técnicas sofisticadas para infectar sistemas. Investigadores de Fortinet FortiGuard Labs descubrieron una campaña de SEO poisoning que manipula los resultados de búsqueda para redirigir a los usuarios a sitios web falsos que imitan a sitios de software legítimos. Estos sitios distribuyen malware como HiddenGh0st y Winos (también conocido como ValleyRAT), ambos variantes del troyano de acceso remoto Gh0st RAT. Winos ha sido relacionado con el grupo de cibercrimen Silver Fox.

Los atacantes utilizan nombres de dominio similares a los de software popular como DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp y WPS Office para engañar a los usuarios. Un script malicioso, ‘nice.js’, controla la entrega del malware a través de una cadena de redirecciones complejas.

El instalador contiene una DLL maliciosa (‘EnumW.dll’) que realiza verificaciones anti-análisis para evadir la detección, incluyendo la extracción de otra DLL (‘vstdlib.dll’) para sobrecargar las herramientas de análisis. Este malware verifica la presencia del antivirus 360 Total Security y, de no estar presente, crea un acceso directo para asegurar la persistencia. El objetivo final es cargar una DLL (‘AIDE.dll’) que establece comunicación con un servidor de comando y control (C2), recopila datos del sistema y monitorea la actividad del usuario.

Además, Zscaler ThreatLabz identificó una campaña separada que distribuye un nuevo malware llamado kkRAT, junto con Winos y FatalRAT, también dirigidos a usuarios de habla china. kkRAT comparte similitudes de código con Gh0st RAT y Big Bad Wolf, y utiliza páginas falsas alojadas en GitHub para la distribución. Este malware utiliza la técnica BYOVD (Bring Your Own Vulnerable Driver) para deshabilitar el software antivirus, específicamente buscando programas como 360 Internet Security suite, HeroBravo System Diagnostics suite, Kingsoft Internet Security y QQ电脑管家.

kkRAT ofrece funcionalidades avanzadas como captura de pantalla, manipulación del portapapeles para reemplazar direcciones de criptomonedas, ejecución remota de comandos y gestión de procesos. También puede actuar como un proxy para eludir firewalls y VPNs.

Es crucial inspeccionar cuidadosamente los nombres de dominio antes de descargar software y mantener el software antivirus actualizado. La combinación de técnicas de SEO poisoning y el uso de plataformas legítimas como GitHub hacen que estas campañas sean particularmente peligrosas.

Fuente original: Ver aquí

Comparte esta Noticia:


Noticias Relacionadas

Nueva variante de ataque ClickFix utiliza scripts de Microsoft App-V para distribuir el malware Amatera

Se ha identificado una nueva campaña maliciosa que utiliza el método denominado ‘ClickFix’, en el cual se engaña a los usuarios mediante una verificación CAPTCHA falsa. En lugar de resolver un rompecabezas convencional, se instruye a la víctima para que copie y ejecute un comando manualmente en el cuadro de

Stanley: El nuevo servicio de malware que burla la seguridad de la Chrome Web Store

En INGENIERÍA TELEMÁTICA SAS nos mantenemos alerta ante las nuevas tácticas de los ciberdelincuentes. Recientemente, investigadores de seguridad han identificado un nuevo modelo de Malware-as-a-Service (MaaS) denominado ‘Stanley’. Este servicio se especializa en la creación y distribución de extensiones maliciosas diseñadas específicamente para evadir los filtros de seguridad de la

Más de 6.000 servidores SmarterMail en riesgo por vulnerabilidad de secuestro automatizado

Recientemente se ha alertado sobre una vulnerabilidad crítica identificada como CVE-2026-23760 que afecta a los servidores de correo SmarterMail. Esta falla de seguridad, clasificada como una derivación de autenticación (Authentication Bypass), permite a atacantes no autenticados secuestrar cuentas de administrador y ejecutar código de forma remota en los servidores afectados.

Desmantelan red criminal vinculada al Tren de Aragua por ataques de malware Ploutus

Un gran jurado federal en Nebraska ha presentado cargos contra 31 sospechosos adicionales involucrados en una sofisticada red de ataques a cajeros automáticos. La operación, presuntamente liderada por miembros de la organización criminal transnacional Tren de Aragua (TdA), utilizaba el malware Ploutus para extraer millones de dólares en efectivo de

Recapitulación semanal de ciberseguridad: Vulnerabilidad crítica en Fortinet, malware en Linux y riesgos en IA

El panorama actual de la ciberseguridad demuestra que la brecha entre una actualización rutinaria y un incidente grave es cada vez más estrecha. Durante esta semana, se ha reportado la explotación activa de la vulnerabilidad crítica CVE-2025-64155 en FortiSIEM de Fortinet. Este fallo permite a atacantes no autenticados ejecutar comandos

VoidLink: El sofisticado malware para Linux desarrollado con apoyo de Inteligencia Artificial

Recientes hallazgos de Check Point Research han revelado la existencia de VoidLink, un sofisticado framework de malware diseñado específicamente para obtener acceso persistente y sigiloso en entornos de nube basados en Linux. Lo que hace que este descubrimiento sea excepcional es la evidencia de que fue desarrollado predominantemente mediante el

Únete a nuestras Noticias

El panorama de amenazas cambia cada día. ¿Está su empresa al tanto de las últimas vulnerabilidades? Suscríbase a nuestro Boletín de Inteligencia Semanal y reciba en su correo un resumen curado por nuestros ingenieros expertos.

  • Reciba alertas priorizadas sobre las vulnerabilidades que le afectan.

  • Entienda las nuevas tácticas y tendencias del cibercrimen.

  • Gratuito, sin spam y con la confianza de Ingeniería Telemática.

Ingresa tus datos para Registrarte