{"id":148,"date":"2025-01-25T20:51:46","date_gmt":"2025-01-25T20:51:46","guid":{"rendered":"https:\/\/aldomonges.com\/aldomonges\/?p=148"},"modified":"2025-01-25T20:51:46","modified_gmt":"2025-01-25T20:51:46","slug":"campana-de-ciberataques-dirigida-a-desarrolladores-operacion-99","status":"publish","type":"post","link":"https:\/\/aldomonges.com\/aldomonges\/?p=148","title":{"rendered":"Campa\u00f1a de ciberataques dirigida a desarrolladores  \u201cOperaci\u00f3n 99\u201d"},"content":{"rendered":"<p>Se ha identificado una nueva campa\u00f1a de ciberataques denominada <strong>\u00abOperaci\u00f3n 99\u00bb<\/strong>, dirigida a desarrolladores de software que buscan trabajo freelance en la Web3 y criptomonedas.<\/p>\n<p>El objetivo principal de los atacantes es infiltrarse en entornos de desarrollo para robar datos cr\u00edticos, como c\u00f3digo fuente, configuraciones de sistemas y claves privadas de criptomonedas, adem\u00e1s de explotar vulnerabilidades que puedan afectar a proyectos y empresas completas.<\/p>\n<p>El modus operandi en esta campa\u00f1a se basa en un uso sofisticado de t\u00e9cnicas de ingenier\u00eda social. Los atacantes crean perfiles falsos de reclutadores en plataformas profesionales como LinkedIn, utilizando nombres y empresas ficticias. Ofrecen oportunidades atractivas a desarrolladores, como pruebas de proyectos o revisiones de c\u00f3digo, para ganar su confianza. Una vez que logran establecer contacto, los atacantes redirigen a las v\u00edctimas a clonar repositorios maliciosos en GitLab que parecen ser leg\u00edtimos, pero que contienen c\u00f3digo dise\u00f1ado para conectar los sistemas de los desarrolladores a servidores de Comando y Control (C2).<\/p>\n<p>Una vez que los desarrolladores acceden, se les solicita clonar un repositorio malicioso alojado en GitLab. Este repositorio contiene c\u00f3digo que conecta los dispositivos infectados a un servidor de comando y control <em>(C2)<\/em>, permitiendo a los atacantes desplegar <strong>malware<\/strong> en m\u00faltiples etapas.<\/p>\n<h3 class=\"wp-block-heading\"><strong>Impacto<\/strong><\/h3>\n<p>El malware desplegado en Operation 99 demuestra un alto nivel de sofisticaci\u00f3n, es notable por su dise\u00f1o modular y multiplataforma, adapt\u00e1ndose a diferentes sistemas operativos, incluidos Windows, macOS y Linux,\u00a0 e incluye capacidades como:<\/p>\n<ul class=\"wp-block-list\">\n<li><strong>Registro de teclas<\/strong> <em>(keylogging)<\/em>. Capturan pulsaciones del teclado y contenido del portapapeles, buscando informaci\u00f3n confidencial como contrase\u00f1as y claves privadas.<\/li>\n<li><strong>Robo de datos de desarrollo.<\/strong> Extraen c\u00f3digo fuente, configuraciones sensibles y otros archivos cr\u00edticos del entorno de desarrollo.<\/li>\n<li><strong>Lectura de portapapeles<\/strong> para capturar datos sensibles.<\/li>\n<li><strong>Exfiltraci\u00f3n de archivos y credenciales<\/strong> almacenadas en navegadores. Descifran contrase\u00f1as almacenadas en navegadores mediante t\u00e9cnicas avanzadas que aprovechan claves de cifrado espec\u00edficas de cada sistema operativo.<\/li>\n<li><strong>Robo de criptomonedas<\/strong>, accediendo a claves de billeteras digitales.<\/li>\n<\/ul>\n<p>Los servidores est\u00e1n dise\u00f1ados para enviar payloads personalizados seg\u00fan las caracter\u00edsticas del sistema de la v\u00edctima, lo que permite ataques m\u00e1s precisos y dif\u00edciles de detectar. El malware est\u00e1 profundamente ofuscado, con scripts comprimidos en m\u00faltiples capas mediante ZLIB y codificaci\u00f3n Base64 invertida, lo que complica significativamente el an\u00e1lisis por parte de expertos en ciberseguridad.<\/p>\n<p>Otro aspecto <strong>preocupante es la capacidad del malware para interactuar de forma din\u00e1mica con los servidores C2.<\/strong> Los payloads no solo exfiltran datos, sino que tambi\u00e9n pueden ejecutar comandos en tiempo real, permitiendo a los atacantes realizar actividades adicionales como instalar nuevas herramientas maliciosas, explorar la red interna de la v\u00edctima o robar datos adicionales.<\/p>\n<h3 class=\"wp-block-heading\"><strong>Recomendaciones<\/strong><\/h3>\n<p>Para mitigar los riesgos asociados con esta campa\u00f1a, se recomienda:<\/p>\n<ul class=\"wp-block-list\">\n<li><strong>Educar a los desarrolladores para que identifiquen t\u00e1cticas de ingenier\u00eda social<\/strong><strong>.<\/strong><\/li>\n<li><strong>Verificar la confiabilidad y autenticidad<\/strong> de repositorios Git antes de clonarlos.<\/li>\n<li><strong>Implementar herramientas avanzadas Antimalware<\/strong> para detectar actividades an\u00f3malas en los endpoints.<\/li>\n<li><strong>Revisar e implementar los Indicadores de Compromiso (IoC)<\/strong> disponibles si hubieren.<\/li>\n<\/ul>\n<h3 class=\"wp-block-heading\"><strong>Referencias<\/strong><\/h3>\n<p>https:\/\/www.acn.gov.it\/portale\/w\/operation-99-nuova-campagna-prende-di-mira-gli-sviluppatori-software<\/p>\n<p>https:\/\/securityscorecard.com\/wp-content\/uploads\/2025\/01\/Report_011325_Strike_Operation99.pdf<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha identificado una nueva campa\u00f1a de ciberataques denominada \u00abOperaci\u00f3n 99\u00bb, dirigida a desarrolladores de software que buscan trabajo freelance en la Web3 y criptomonedas. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":149,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-148","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad-informatica"],"jetpack_featured_media_url":"https:\/\/i3.wp.com\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhklR3rL9C2OSZkUzvwf0YfrPOnOzpHrgKPQZd_UiV-3x0Fe1zbF7lP0B-T0RN2ss0_1uXl3g1BPmupU83skwQHBpcRPq5sT5OMhi1nZgNBkFsHrXMekQR9oh3RA6ceQcHdWZ7MnTHNbkyDJW_TZxmjLf0nj2gZ4J_X7ncP5HIdtiLQfrrvL0Ky1wHHi0PQ\/w640-h346\/1053598009.jpg?w=640&resize=640,346&ssl=1","_links":{"self":[{"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/posts\/148","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=148"}],"version-history":[{"count":1,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/posts\/148\/revisions"}],"predecessor-version":[{"id":150,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/posts\/148\/revisions\/150"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/media\/149"}],"wp:attachment":[{"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=148"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=148"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}