{"id":355,"date":"2026-03-24T18:02:38","date_gmt":"2026-03-24T18:02:38","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/los-piratas-informaticos-utilizan-curriculums-falsos-para-robar-credenciales-empresariales-e-implementar-crypto-miner-cyberdefensa-mx\/"},"modified":"2026-03-24T18:02:38","modified_gmt":"2026-03-24T18:02:38","slug":"los-piratas-informaticos-utilizan-curriculums-falsos-para-robar-credenciales-empresariales-e-implementar-crypto-miner-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/los-piratas-informaticos-utilizan-curriculums-falsos-para-robar-credenciales-empresariales-e-implementar-crypto-miner-cyberdefensa-mx\/","title":{"rendered":"Los piratas inform\u00e1ticos utilizan curr\u00edculums falsos para robar credenciales empresariales e implementar Crypto Miner \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una campa\u00f1a de phishing en curso se dirige a entornos corporativos de habla francesa con curr\u00edculums falsos que conducen al despliegue de mineros de criptomonedas y ladrones de informaci\u00f3n.<\/p>\n

\u00abLa campa\u00f1a utiliza archivos VBScript altamente ofuscados disfrazados de documentos de curr\u00edculum vitae, entregados a trav\u00e9s de correos electr\u00f3nicos de phishing\u00bb, dijeron los investigadores de Securonix Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

\u00abUna vez ejecutado, el malware implementa un conjunto de herramientas multiprop\u00f3sito que combina el robo de credenciales, la exfiltraci\u00f3n de datos y la miner\u00eda de criptomonedas Monero para una m\u00e1xima monetizaci\u00f3n\u00bb.<\/p>\n

La actividad ha sido nombrada en c\u00f3digo. FAUX#ELEVAR<\/strong> por la empresa de ciberseguridad. La campa\u00f1a se destaca por el abuso de infraestructura y servicios leg\u00edtimos, como Dropbox para la preparaci\u00f3n de cargas \u00fatiles, sitios marroqu\u00edes de WordPress para alojar la configuraci\u00f3n de comando y control (C2) y el correo.[.]ru Infraestructura SMTP para extraer credenciales de navegador y archivos de escritorio robados.<\/p>\n

Este es un ejemplo de un ataque estilo vivir de la tierra que eleva el nivel sobre c\u00f3mo los atacantes pueden enga\u00f1ar a los mecanismos de defensa y colarse en el sistema del objetivo sin llamar mucho la atenci\u00f3n.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El archivo dropper inicial es un Visual Basic Script (VBScript) que, al abrirse, muestra un mensaje de error falso en franc\u00e9s, enga\u00f1ando a los destinatarios del mensaje haci\u00e9ndoles pensar que el archivo est\u00e1 da\u00f1ado. Sin embargo, lo que sucede detr\u00e1s de escena es que el script muy ofuscado ejecuta una serie de comprobaciones para evadir los entornos sandbox y entra en un bucle persistente de Control de cuentas de usuario (UAC) que solicita a los usuarios que lo ejecuten con privilegios de administrador.<\/p>\n

En particular, de las 224.471 l\u00edneas del script, s\u00f3lo 266 l\u00edneas contienen c\u00f3digo ejecutable real. El resto del gui\u00f3n est\u00e1 lleno de comentarios basura con frases aleatorias en ingl\u00e9s, lo que aumenta el tama\u00f1o del archivo a 9,7 MB.<\/p>\n

\u00abEl malware tambi\u00e9n utiliza una puerta de uni\u00f3n a un dominio mediante WMI<\/a> [Windows Management Instrumentation]asegurando que las cargas \u00fatiles s\u00f3lo se entreguen en m\u00e1quinas empresariales y que los sistemas dom\u00e9sticos independientes queden excluidos por completo\u00bb, dijeron los investigadores.<\/p>\n

Tan pronto como el dropper obtiene privilegios administrativos, no pierde tiempo en deshabilitar los controles de seguridad y encubrir sus huellas configurando rutas de exclusi\u00f3n de Microsoft Defender para todas las letras de unidades principales (de C a I), deshabilitando UAC mediante un cambio en el Registro de Windows y elimin\u00e1ndose a s\u00ed mismo.<\/p>\n

El dropper tambi\u00e9n es responsable de recuperar dos archivos 7-Zip separados protegidos con contrase\u00f1a alojados en Dropbox:<\/p>\n