Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Sí, ahora puedes solicitar DoorDash desde la línea de comando.

¿Por qué OpenAI vende ChatGPT Basketball?

Sheryl Sandberg lidera una inversión de 10 millones de dólares en un servicio de inspección de vehículos impulsado por IA

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Más de 20 sitios web gubernamentales fueron secuestrados y sirvieron como canales de ataque.
Identidad

Más de 20 sitios web gubernamentales fueron secuestrados y sirvieron como canales de ataque.

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 16, 2026No hay comentarios6 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

noticias de piratas informáticos16 de julio de 2026Malware/Seguridad de terminales

ANY.RUN, un proveedor líder de análisis interactivo de malware y soluciones de inteligencia de amenazas, descubrió que una campaña activa de PhantomEnigma ha secuestrado más de 20 sitios web del gobierno brasileño y los ha convertido en canales de distribución de malware.

Esta investigación descubrió prácticas de puertas traseras previamente no documentadas, conexiones de infraestructura ocultas y múltiples vectores de ataque detrás de campañas que ponen en riesgo a bancos e instituciones públicas.

Al conectar cientos de sesiones de sandbox aparentemente no relacionadas, los investigadores de ANY.RUN expusieron el alcance más amplio de esta operación, mostrando cómo los enlaces confiables .gov.br y los correos electrónicos autenticados ayudaron a ocultar la actividad.

Lea el informe de investigación completo de PhantomEnigma para obtener un análisis técnico completo, detalles de infraestructura, métricas y orientación de detección.

La infraestructura gubernamental confiable se convirtió en una atracción

El ataque comenzó con un documento policial falso presentado como un aviso oficial de la «Office Polícia Civil» o «Procuração Digital». Algunos incluían códigos QR, mientras que otros dirigían a los destinatarios a enlaces diseñados para parecerse a recursos gubernamentales legítimos.

Documento falso con temática policial analizado en el sandbox de ANY.RUN, lo que proporciona visibilidad completa del ataque PhantomEnigma

En algunos casos, los correos electrónicos se enviaron a través de buzones de correo comprometidos y pasaron las comprobaciones SPF, DKIM y DMARC. Esto hizo que el mensaje pareciera más legítimo que un correo electrónico de phishing falsificado normal.

Luego, las víctimas son redirigidas a través de un host .gov.br comprometido o un dominio similar con temática policial antes de llegar al instalador malicioso. Los sistemas gubernamentales se utilizaron como infraestructura de entrega confiable, pero no necesariamente como objetivo final de la campaña.

Anfitriones gubernamentales observados

Los sistemas comprometidos observados durante la investigación incluyen timon.ma.gov(.)br, loginam.sesp.es.gov(.)br (Seguridad Pública del Estado), aplicacao.cbm.mt.gov(.)br (Departamento de Bomberos) y prodoc.ap.gov(.)br.

Consultas de búsqueda de TI que involucran hosts gubernamentales comprometidos

Estos portales legítimos municipales, de seguridad pública y judiciales fueron utilizados en diversas etapas de la cadena de distribución. Algunos también aparecieron en múltiples brazos de ataque de PhantomEnigma, ayudando a los investigadores a conectar actividades que inicialmente parecían no tener relación.

Evolución de PhantomEnigma: dos caminos para dificultar la detección

Cronología de la actividad maliciosa de PhantomEnigma

El cronograma muestra que una operación evoluciona siguiendo dos caminos principales.

Distribución: PhantomEnigma pasó de actividades centradas en la banca en 2025 a explotar sitios web y cuentas de correo electrónico .gov.br comprometidos en 2026. Esto le dio a la campaña una ruta más confiable hacia las víctimas sin identificar nuevos grupos objetivo.

Arsenal: este malware ha evolucionado desde un búnker de extensiones de navegador hasta una puerta trasera modular Inno/Node.js que puede ejecutar JavaScript y entregar cargas útiles adicionales.

Para los equipos de seguridad, esta combinación crea una grave brecha de visibilidad. La infraestructura confiable reduce las sospechas, las cargas útiles modulares pueden cambiar después de la infección y la rotación de dominios C2 rápidamente hace que las listas de bloqueo estáticas queden obsoletas. El análisis de comportamiento y la búsqueda continua de amenazas brindan una cobertura más confiable a medida que evoluciona su campaña.

Del correo electrónico confiable al compromiso total: la cadena de ataque PhantomEnigma

El proceso de análisis de PhantomEnigma en un sandbox interactivo

Una vez que una víctima interactúa con este señuelo, la campaña avanza a través de una cadena de infección de varios pasos.

Correos electrónicos de phishing: las víctimas reciben señuelos y documentos oficiales falsos con temas policiales. Infraestructura confiable: los enlaces se redirigen a través de hosts gubernamentales comprometidos o dominios similares con temática policial. Instalador malicioso: Inno Setup, MSI u otro instalador inicia la infección. Aplicación Electron parcheada: el software legítimo carga la puerta trasera maliciosa Index.js. Activación de puerta trasera: el malware recopila datos del sistema, establece persistencia y se conecta a la infraestructura C2 circulante. Entrega de segunda etapa: la puerta trasera ejecuta JavaScript o entrega ladrones, cargadores, software RMM u otro malware. Impacto empresarial: las infecciones pueden provocar credenciales comprometidas, acceso no autorizado, fraude, fugas de datos e interrupciones operativas.

Lo que los investigadores descubrieron dentro de la puerta trasera de PhantomEnigma

La sesión de pruebas expuso algo más que un simple descargador. Oculta dentro de Boostnote y otras aplicaciones parcheadas había una puerta trasera modular Index.js creada para identificar máquinas infectadas, mantener el acceso y entregar varias cargas útiles bajo demanda.

Una vez habilitada, la puerta trasera puede:

Recopila el nombre de la computadora de la víctima, el nombre de usuario y los detalles del sistema Crea una identificación de máquina persistente y lee la etiqueta de campaña almacenada junto al instalador Establece persistencia a través de la configuración de inicio de sesión Comprueba si hay nuevos comandos cada 180 segundos Ejecuta JavaScript directamente a través de eval() Descarga y lanza una carga útil ejecutable Se comunica a través de múltiples formatos de baliza a través de una infraestructura rotativa

Este diseño modular permite a los operadores cambiar la carga útil final sin reconstruir toda la cadena de infección. Los sistemas inicialmente expuestos al mismo instalador pueden recibir más tarde un ladrón, un cargador, una herramienta de administración remota u otro ejecutable, lo que dificulta tanto la detección como la contención.

Advertencia a bancos e instituciones públicas

PhantomEnigma muestra cómo los atacantes pueden convertir una infraestructura confiable en una ventaja de detección. Un dominio gubernamental legítimo, un correo electrónico autenticado o una determinación de archivos limpios pueden reducir las sospechas incluso si la cadena de infección ya está activa.

Para los bancos y las organizaciones del sector público, el riesgo se extiende más allá de un único punto final comprometido. El robo de credenciales y el acceso persistente por puerta trasera pueden exponer los sistemas internos, los datos confidenciales y las operaciones financieras, mientras que las alertas fragmentadas retrasan la contención.

Los equipos de seguridad deben brindar a los empleados una forma segura de informar mensajes sospechosos e investigar más allá del juicio inicial. La captura temprana de señuelos confiables puede evitar el robo de credenciales, la entrega de carga útil adicional e incidentes operativos generalizados.

Obtenga IOC de PhantomEnigma, hallazgos de infraestructura y orientación de detección para mejorar su búsqueda y respuesta a amenazas.

Accede al informe completo

¿Fue interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo nuestro.

Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleUn nuevo ataque de inyección de datos de agentes podría hacer que los agentes de IA ejecuten clics falsos o comandos de atacantes
Next Article El nuevo ladrón ClickLock para macOS elimina aplicaciones cada 210 milisegundos hasta que la víctima ingresa la contraseña
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Una falla en el intercambio de tokens n8n podría permitir a un atacante iniciar sesión como usuario de otro emisor

julio 16, 2026

El nuevo malware TELEPUZ se propaga a través de ClickFix, roba datos y ejecuta comandos

julio 16, 2026

El nuevo ladrón ClickLock para macOS elimina aplicaciones cada 210 milisegundos hasta que la víctima ingresa la contraseña

julio 16, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Sí, ahora puedes solicitar DoorDash desde la línea de comando.

¿Por qué OpenAI vende ChatGPT Basketball?

Sheryl Sandberg lidera una inversión de 10 millones de dólares en un servicio de inspección de vehículos impulsado por IA

Una falla en el intercambio de tokens n8n podría permitir a un atacante iniciar sesión como usuario de otro emisor

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.