{"id":3195,"date":"2023-07-10T15:27:41","date_gmt":"2023-07-10T18:27:41","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=3195"},"modified":"2026-03-26T12:02:17","modified_gmt":"2026-03-26T15:02:17","slug":"doublefinger-001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/doublefinger-001\/","title":{"rendered":"DoubleFinger 2023: cuando ponen la mano en tu billetera"},"content":{"rendered":"

El robo de criptomonedas no es algo nuevo, DoubleFinger no es la excepci\u00f3n. Por ejemplo, a principios de la d\u00e9cada de 2010<\/a>, la bolsa de bitcoins Mt. Gox sufri\u00f3 el robo de muchos bitcoins.<\/h2>\n

M\u00e1s adelante, los operadores del ransomware Coinvault, y otros atacantes, tambi\u00e9n apuntaban a robar\u00a0monederos Bitcoin.<\/a><\/p>\n

En los \u00faltimos a\u00f1os, el robo de criptomonedas se ha mantenido como una actividad altamente atractiva para los ciberdelincuentes. La creciente popularidad de las criptomonedas, como el Bitcoin y el Ethereum, ha llevado consigo un aumento significativo en los intentos de robo por parte de estos actores maliciosos.<\/p>\n

En esta l\u00ednea, ha surgido una nueva amenaza que merece nuestra atenci\u00f3n: el cargador multietapa DoubleFinger. Este sofisticado malware se ha convertido en una preocupaci\u00f3n creciente para los usuarios de criptomonedas y las empresas que operan en el \u00e1mbito digital. DoubleFinger se destaca por su capacidad para infiltrarse en los sistemas inform\u00e1ticos y robar criptomonedas de manera sigilosa y eficiente.<\/p>\n

El modus operandi de DoubleFinger implica la utilizaci\u00f3n de correos electr\u00f3nicos fraudulentos como medio de distribuci\u00f3n. Los ciberdelincuentes env\u00edan mensajes que aparentan ser leg\u00edtimos, pero contienen archivos adjuntos maliciosos en formato PIF. Estos archivos est\u00e1n dise\u00f1ados para enga\u00f1ar a los usuarios desprevenidos, llev\u00e1ndolos a abrirlos sin sospechar la amenaza que se oculta dentro.<\/p>\n

Cuando la v\u00edctima cae en la trampa y abre el archivo adjunto PIF malicioso, se activa la primera etapa del cargador DoubleFinger. Esta etapa inicial es la puerta de entrada para que el malware se instale en el equipo objetivo. Una vez dentro del sistema, el malware comienza su tarea de robo de criptomonedas, sin que el usuario se percate de lo que est\u00e1 ocurriendo en segundo plano.<\/p>\n

Es importante destacar que DoubleFinger es solo un ejemplo de la sofisticaci\u00f3n y la evoluci\u00f3n constante de las t\u00e1cticas utilizadas por los ciberdelincuentes en el \u00e1mbito de la ciberdelincuencia relacionada con criptomonedas. Estos actores maliciosos est\u00e1n en constante b\u00fasqueda de nuevas formas de aprovecharse de los usuarios desprevenidos y vulnerar la seguridad de las plataformas de criptomonedas.<\/p>\n

Ante esta creciente amenaza, es crucial que los usuarios adopten medidas de seguridad y precauci\u00f3n adicionales al interactuar con correos electr\u00f3nicos y archivos adjuntos. Se recomienda encarecidamente verificar la autenticidad de los remitentes, evitar abrir archivos adjuntos de fuentes desconocidas y mantener actualizados los sistemas de seguridad inform\u00e1tica.<\/p>\n

En resumen, el robo de criptomonedas sigue siendo una actividad atractiva para los ciberdelincuentes, y la aparici\u00f3n del cargador multietapa DoubleFinger representa una amenaza significativa en este \u00e1mbito. La concienciaci\u00f3n, la educaci\u00f3n y la adopci\u00f3n de buenas pr\u00e1cticas de seguridad son fundamentales para protegerse contra este tipo de ataques y salvaguardar nuestras criptomonedas.<\/p>\n

DoubleFinger, primera etapa<\/h2>\n

La primera etapa del cargador DoubleFinger, conocida como “espexe.exe”, es un archivo binario modificado que se presenta como una aplicaci\u00f3n leg\u00edtima de Proveedor de Servicios Econ\u00f3micos de MS Windows. Sin embargo, este archivo ha sido alterado maliciosamente para llevar a cabo sus propios objetivos nefastos.<\/p>\n

El binario “espexe.exe” contiene una manipulaci\u00f3n en la funci\u00f3n DialogFunc, la cual ha sido parchada de manera que ejecuta un shellcode malicioso. El shellcode es un conjunto de instrucciones de bajo nivel que realiza acciones espec\u00edficas en el sistema comprometido.<\/p>\n

Una de las primeras acciones que lleva a cabo el shellcode es descargar una imagen PNG desde el sitio Imgur.com. Esta imagen act\u00faa como un contenedor para ocultar la carga \u00fatil cifrada del malware. Utilizando funciones de la API por hash, el shellcode resuelve las funciones necesarias para realizar esta descarga de manera encubierta.<\/p>\n

Una vez que la imagen PNG ha sido descargada exitosamente, el shellcode examina los bytes m\u00e1gicos “0xea79a5c6” dentro de la imagen. Estos bytes m\u00e1gicos act\u00faan como una firma o marca distintiva que indica la presencia de la carga \u00fatil cifrada en la imagen.<\/p>\n

Al encontrar los bytes m\u00e1gicos, el shellcode extrae y descifra la carga \u00fatil oculta dentro de la imagen. Esta carga \u00fatil puede incluir el c\u00f3digo malicioso real que se ejecutar\u00e1 en el sistema comprometido, permitiendo as\u00ed al cargador DoubleFinger llevar a cabo su objetivo de robar criptomonedas de forma sigilosa.<\/p>\n

Estos detalles t\u00e9cnicos resaltan la complejidad y sofisticaci\u00f3n del cargador DoubleFinger. Los ciberdelincuentes han utilizado diversas t\u00e9cnicas, como la manipulaci\u00f3n de funciones, el uso de im\u00e1genes como contenedores cifrados y la b\u00fasqueda de bytes m\u00e1gicos para ocultar y ejecutar su carga \u00fatil maliciosa.<\/p>\n

Es fundamental que los usuarios est\u00e9n conscientes de estos m\u00e9todos y mantengan sus sistemas actualizados con las \u00faltimas medidas de seguridad. La adopci\u00f3n de buenas pr\u00e1cticas, como la verificaci\u00f3n de la autenticidad de los archivos y el uso de soluciones antivirus actualizadas, ayudar\u00e1 a mitigar el riesgo de infecci\u00f3n por este tipo de malware y a proteger sus criptomonedas.<\/p>\n

\n\n\n\n
<\/td>\n\"Funci\u00f3n<\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n

Funci\u00f3n DialogFunc real (izquierda) y funci\u00f3n parchada con shellcode (derecha)<\/strong><\/em><\/p>\n

La carga \u00fatil cifrada contiene los siguientes archivos:<\/p>\n

    \n
  1. un PNG con la carga \u00fatil de la cuarta etapa;<\/li>\n
  2. un blob de datos cifrado;<\/li>\n
  3. un binario java.exe leg\u00edtimo, utilizado para la carga lateral de la DLL;<\/li>\n
  4. el cargador DoubleFinger de la segunda etapa<\/li>\n<\/ol>\n

    DoubleFinger, segunda etapa<\/h2>\n

    La segunda etapa del cargador DoubleFinger implica la ejecuci\u00f3n de un shellcode adicional que se carga cuando se ejecuta un binario Java leg\u00edtimo ubicado en el mismo directorio. Este archivo en particular tiene el nombre “msvcr100.dll” y, al igual que las etapas anteriores, ha sido parchado para funcionar de manera maliciosa.<\/p>\n

    El binario “msvcr100.dll” sigue manteniendo su apariencia de ser un archivo leg\u00edtimo, pero ha sido modificado para incluir una estructura y funcionalidad similar a la primera y segunda etapa. Al ejecutarse, este archivo desencadena la carga del shellcode de la segunda etapa del cargador DoubleFinger.<\/p>\n

    El shellcode de la segunda etapa, una vez activado, se encarga de cargar, descifrar y finalmente ejecutar el shellcode correspondiente a la tercera etapa del cargador. Esta tercera etapa podr\u00eda contener la carga \u00fatil final del malware, la cual estar\u00eda dise\u00f1ada espec\u00edficamente para llevar a cabo el robo de criptomonedas y otras actividades maliciosas.<\/p>\n

    Esta compleja secuencia de etapas y shellcodes demuestra la sofisticaci\u00f3n y el enfoque meticuloso utilizado por los creadores del cargador DoubleFinger. Al aprovechar binarios leg\u00edtimos y parcharlos con funcionalidad maliciosa, los ciberdelincuentes pueden evadir las defensas de seguridad y ejecutar sus ataques de manera encubierta.<\/p>\n

    Es fundamental destacar que la detecci\u00f3n y la protecci\u00f3n contra este tipo de malware requieren soluciones de seguridad actualizadas y herramientas especializadas. Los usuarios deben estar atentos a las actualizaciones de seguridad y seguir las mejores pr\u00e1cticas para minimizar los riesgos asociados con el robo de criptomonedas y otras amenazas cibern\u00e9ticas.<\/p>\n

    La evoluci\u00f3n constante de los cargadores y las t\u00e9cnicas utilizadas por los ciberdelincuentes resalta la importancia de la educaci\u00f3n en ciberseguridad y la necesidad de mantenerse informado sobre las \u00faltimas tendencias y amenazas en el \u00e1mbito de la ciberdelincuencia.<\/p>\n

    DoubleFinger, tercera etapa<\/h2>\n

    El shellcode de la tercera etapa del cargador DoubleFinger presenta diferencias significativas en comparaci\u00f3n con las etapas anteriores. Este shellcode utiliza llamadas de bajo nivel a la API de Windows para llevar a cabo sus funciones y elude los hooks establecidos por soluciones de seguridad.<\/p>\n

    Una de las t\u00e1cticas utilizadas en esta etapa es la carga y el mapeo de “ntdll.dll” en la memoria del proceso. Al realizar este proceso, el cargador DoubleFinger busca evitar ser detectado por soluciones de seguridad que puedan monitorear y analizar el comportamiento de las API est\u00e1ndar.<\/p>\n

    Una vez que se ha completado el proceso de carga y mapeo de “ntdll.dll”, el siguiente paso consiste en descifrar y ejecutar la carga \u00fatil de la cuarta etapa del malware. Como se mencion\u00f3 previamente, esta carga \u00fatil se encuentra ubicada en el archivo PNG previamente mencionado.<\/p>\n

    A diferencia del archivo PNG descargado en etapas anteriores, el archivo PNG utilizado en la cuarta etapa s\u00ed muestra una imagen v\u00e1lida. Sin embargo, el m\u00e9todo de esteganograf\u00eda empleado en esta etapa es relativamente sencillo. Los datos necesarios para la ejecuci\u00f3n del cargador DoubleFinger se recuperan a partir de desplazamientos espec\u00edficos dentro de la imagen.<\/p>\n

    Esta t\u00e9cnica de ocultamiento de datos dentro de im\u00e1genes muestra una vez m\u00e1s la ingeniosidad de los ciberdelincuentes para evadir la detecci\u00f3n y mantener sus actividades maliciosas en secreto. A pesar de su simplicidad, este m\u00e9todo de esteganograf\u00eda permite que los datos de la carga \u00fatil sean recuperados de forma efectiva y ejecutados en el sistema comprometido.<\/p>\n

    La capacidad del cargador DoubleFinger para adaptarse y emplear diversas t\u00e9cnicas a lo largo de sus m\u00faltiples etapas refuerza la necesidad de contar con soluciones de seguridad actualizadas y una postura de ciberseguridad proactiva. Los usuarios deben mantenerse informados sobre las \u00faltimas amenazas y adoptar medidas de seguridad robustas para proteger sus sistemas y activos digitales.<\/p>\n

    \"El<\/a><\/p>\n

    El archivo aa.png con la cuarta etapa incrustada<\/strong><\/em><\/p>\n

    DoubleFinger, cuarta etapa<\/h2>\n

    La cuarta etapa del cargador DoubleFinger presenta un shellcode relativamente simple en comparaci\u00f3n con las etapas anteriores. Su principal objetivo es localizar y ejecutar la quinta etapa del malware, la cual se encuentra contenida dentro del propio shellcode de la cuarta etapa.<\/p>\n

    Para lograr esto, el shellcode de la cuarta etapa utiliza una t\u00e9cnica conocida como “Process Doppelg\u00e4nging”. Esta t\u00e9cnica consiste en crear una copia de un proceso leg\u00edtimo y luego reemplazar su c\u00f3digo y recursos con los del malware.<\/p>\n

    Al emplear Process Doppelg\u00e4nging, el cargador DoubleFinger puede enga\u00f1ar a los sistemas de seguridad y evadir la detecci\u00f3n al utilizar un proceso leg\u00edtimo como veh\u00edculo para ejecutar la quinta etapa del malware. Esta t\u00e9cnica es especialmente eficaz porque el proceso leg\u00edtimo utilizado como base para la duplicaci\u00f3n es reconocido como seguro por los sistemas de seguridad.<\/p>\n

    Una vez que se ha llevado a cabo la t\u00e9cnica de Process Doppelg\u00e4nging, se inicia la ejecuci\u00f3n de la quinta etapa del cargador DoubleFinger. En esta etapa, es probable que se encuentren funcionalidades m\u00e1s avanzadas y peligrosas del malware, destinadas a la ejecuci\u00f3n de acciones maliciosas como el robo de criptomonedas.<\/p>\n

    Es importante resaltar que la utilizaci\u00f3n de Process Doppelg\u00e4nging representa un desaf\u00edo adicional para las soluciones de seguridad, ya que dificulta la detecci\u00f3n y el an\u00e1lisis del malware. Los ciberdelincuentes est\u00e1n constantemente buscando nuevas t\u00e9cnicas y m\u00e9todos para evadir las defensas de seguridad y maximizar el \u00e9xito de sus ataques.<\/p>\n

    En respuesta a esta amenaza en constante evoluci\u00f3n, es crucial que los usuarios mantengan sus sistemas y soluciones de seguridad actualizados, as\u00ed como tambi\u00e9n sigan buenas pr\u00e1cticas de ciberseguridad, como evitar la descarga de archivos o la apertura de correos electr\u00f3nicos sospechosos.<\/p>\n

    La complejidad y sofisticaci\u00f3n de las etapas del cargador DoubleFinger subrayan la importancia de contar con una estrategia integral de seguridad cibern\u00e9tica y una mentalidad proactiva para protegerse contra este tipo de amenazas en constante evoluci\u00f3n.<\/p>\n

    DoubleFinger, quinta etapa<\/h2>\n

    En la quinta y \u00faltima etapa del cargador DoubleFinger, se lleva a cabo una serie de acciones adicionales que ampl\u00edan el alcance de las actividades maliciosas. En esta etapa, se crea una tarea programada que se ejecuta diariamente a una hora espec\u00edfica y tiene como objetivo principal la ejecuci\u00f3n de un “stealer” conocido como GreetingGhoul.<\/p>\n

    El cargador DoubleFinger configura la tarea programada para que, en el momento programado, descargue un archivo PNG adicional. Sin embargo, en realidad, este archivo PNG es un binario cifrado de GreetingGhoul al que se le ha a\u00f1adido una cabecera PNG v\u00e1lida. Este enfoque enga\u00f1oso permite ocultar el verdadero contenido del archivo y evadir las medidas de seguridad que podr\u00edan detectar la presencia de un archivo ejecutable malicioso.<\/p>\n

    Una vez que se ha descargado el archivo PNG cifrado y se encuentra en el sistema comprometido, el cargador DoubleFinger procede a descifrarlo. La clave de cifrado necesaria para desbloquear el archivo se encuentra en la propia estructura del cargador, lo que permite a la quinta etapa acceder a ella y realizar la desencriptaci\u00f3n correspondiente.<\/p>\n

    Una vez descifrado, el archivo binario de GreetingGhoul es ejecutado. GreetingGhoul es un tipo de “stealer” que est\u00e1 dise\u00f1ado espec\u00edficamente para robar informaci\u00f3n confidencial, como credenciales de inicio de sesi\u00f3n, datos de tarjetas de cr\u00e9dito y otra informaci\u00f3n personal sensible. La ejecuci\u00f3n de este “stealer” permite a los ciberdelincuentes obtener acceso a datos valiosos y comprometer a\u00fan m\u00e1s la seguridad y privacidad de las v\u00edctimas.<\/p>\n

    El establecimiento de una tarea programada regular para ejecutar GreetingGhoul muestra la persistencia y el enfoque a largo plazo de los ciberdelincuentes detr\u00e1s del cargador DoubleFinger. Al automatizar la ejecuci\u00f3n del “stealer” en intervalos regulares, los atacantes pueden recopilar informaci\u00f3n constantemente y maximizar el \u00e9xito de sus operaciones maliciosas.<\/p>\n

    Ante esta amenaza, es crucial que los usuarios mantengan actualizadas sus soluciones de seguridad y adopten medidas de protecci\u00f3n adicionales, como el uso de autenticaci\u00f3n de dos factores y el monitoreo regular de sus cuentas en l\u00ednea. Adem\u00e1s, se recomienda encarecidamente estar atentos a los comportamientos sospechosos en sus sistemas y tomar medidas inmediatas si se sospecha de una infecci\u00f3n.<\/p>\n

    La quinta etapa del cargador DoubleFinger se centra en la creaci\u00f3n de una tarea programada para ejecutar el “stealer” GreetingGhoul, que roba informaci\u00f3n confidencial.<\/p>\n

    La descarga y ejecuci\u00f3n de otro archivo PNG cifrado demuestra la sofisticaci\u00f3n utilizada para ocultar su verdadera naturaleza y evadir las defensas de seguridad.<\/p>\n

    La protecci\u00f3n contra este tipo de amenazas requiere una combinaci\u00f3n de medidas de seguridad actualizadas, conciencia de los riesgos y una postura proactiva de ciberseguridad.<\/p>\n

    GreetingGhoul y Remcos<\/h2>\n

    GreetingGhoul es un\u00a0stealer<\/em>\u00a0dise\u00f1ado para robar credenciales relacionadas con criptomonedas. Consta de dos componentes principales, que funcionan juntos:<\/p>\n

      \n
    1. Un componente que utiliza MS WebView2 para crear superposiciones en interfaces de monederos de criptomonedas;<\/li>\n
    2. Otro componente que detecta las aplicaciones de monederos de criptomonedas y roba la informaci\u00f3n confidencial, como frases de recuperaci\u00f3n.<\/li>\n<\/ol>\n

      \n

      \n

      Ejemplos de ventanas falsas<\/strong><\/em><\/p>\n

      Con las billeteras de hardware, un usuario nunca debe poner su frase (seed) de recuperaci\u00f3n en la computadora. Un proveedor de billeteras de hardware nunca pedir\u00e1 eso.<\/p>\n

      Aparte de GreetingGhoul, tambi\u00e9n encontramos varias muestras de DoubleFinger que descargaban Remcos, una conocida RAT comercial muy utilizada por los ciberdelincuentes. La hemos visto en ataques selectivos contra empresas y organizaciones.<\/p>\n

      V\u00edctimas y atribuci\u00f3n<\/h2>\n

      El an\u00e1lisis de los fragmentos de texto en ruso encontrados en el malware y la identificaci\u00f3n de v\u00edctimas en Europa, Estados Unidos y Am\u00e9rica Latina son indicadores relevantes, pero no son suficientes para atribuir de manera concluyente la campa\u00f1a del malware DoubleFinger a los pa\u00edses mencionados.<\/p>\n

      Es importante tener en cuenta que los ciberdelincuentes a menudo utilizan t\u00e9cnicas de ocultamiento y falsificaci\u00f3n para dificultar la atribuci\u00f3n de sus actividades. Pueden emplear elementos de lenguaje, como fragmentos en ruso, con el objetivo de despistar a los investigadores y desviar la atenci\u00f3n de su verdadera ubicaci\u00f3n o identidad.<\/p>\n

      \"DoubleFinger\"<\/a>
      DoubleFinger<\/figcaption><\/figure>\n

      La geolocalizaci\u00f3n de las v\u00edctimas tambi\u00e9n puede ser enga\u00f1osa, ya que los atacantes suelen apuntar a una amplia variedad de pa\u00edses para maximizar su alcance y potencialmente evadir sospechas. Por lo tanto, la presencia de v\u00edctimas en Europa, Estados Unidos y Am\u00e9rica Latina no necesariamente indica la ubicaci\u00f3n geogr\u00e1fica de los perpetradores.<\/p>\n

      La atribuci\u00f3n precisa de las campa\u00f1as de ciberdelincuencia puede ser un desaf\u00edo complejo y requiere una investigaci\u00f3n exhaustiva, que incluye el an\u00e1lisis forense de los artefactos t\u00e9cnicos, la recolecci\u00f3n de inteligencia y la colaboraci\u00f3n entre expertos en seguridad. Es necesario contar con evidencia s\u00f3lida y corroborada antes de hacer afirmaciones definitivas sobre la identidad o la ubicaci\u00f3n de los responsables.<\/p>\n

      En conclusi\u00f3n, aunque los fragmentos en ruso y las v\u00edctimas identificadas en diferentes regiones proporcionan indicios para la investigaci\u00f3n, no son suficientes para llegar a una atribuci\u00f3n definitiva. La atribuci\u00f3n precisa de las campa\u00f1as de malware requiere un an\u00e1lisis exhaustivo y riguroso de m\u00faltiples factores para evitar conclusiones precipitadas o err\u00f3neas.<\/p>\n

       <\/p>\n

      Conclusi\u00f3n<\/h2>\n

      El an\u00e1lisis de los programas maliciosos DoubleFinger loader y GreetingGhoul revela un alto nivel de sofisticaci\u00f3n y habilidad en el desarrollo de software delictivo, similar al de las amenazas persistentes avanzadas (APT). El cargador multietapa estilo shellcode con capacidades de esteganograf\u00eda, el uso de interfaces COM de Windows para la ejecuci\u00f3n sigilosa y la implementaci\u00f3n de Process Doppelg\u00e4nging para la inyecci\u00f3n en procesos remotos apuntan a que es un crimeware bien elaborado y complejo. El uso de Microsoft WebView2 runtime para crear interfaces falsificadas de monederos de criptomonedas destaca a\u00fan m\u00e1s las avanzadas t\u00e9cnicas empleadas por este malware.<\/p>\n

      Los informes de inteligencia pueden ser de gran ayuda para protegerse contra estas amenazas. Si quiere estar al d\u00eda con las \u00faltimas TTP utilizadas por los delincuentes o tiene preguntas sobre nuestros informes privados, escr\u00edbanos a\u00a0crimewareintel@kaspersky.com.<\/a><\/p>\n

      IoC<\/h2>\n

      DoubleFinger<\/strong>
      \na500d9518bfe0b0d1c7f77343cac68d8
      \n      dbd0cf87c085150eb0e4a40539390a9a<\/a>
      \n      56acd988653c0e7c4a5f1302e6c3b1c0<\/a>
      \n      16203abd150a709c0629a366393994ea<\/a>
      \n      d9130cb36f23edf90848ffd73bd4e0e0<\/a><\/p>\n

      GreetingGhoul<\/strong>
      \n      642f192372a4bd4fb3bfa5bae4f8644c<\/a>
      \n      a9a5f529bf530d0425e6f04cbe508f1e<\/a><\/p>\n

      C2<\/strong>
      \n      cryptohedgefund[.]us<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

      El robo de criptomonedas no es algo nuevo, DoubleFinger no es la excepci\u00f3n. Por ejemplo, a principios de la d\u00e9cada de 2010, la bolsa de bitcoins Mt. Gox sufri\u00f3 el robo de muchos bitcoins. M\u00e1s adelante, los operadores del ransomware Coinvault, y otros atacantes, tambi\u00e9n apuntaban a robar\u00a0monederos Bitcoin. En los \u00faltimos a\u00f1os, el robo […]<\/p>\n","protected":false},"author":2,"featured_media":3196,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[54],"tags":[377,3296,3297,3298,289,3299,3300,3301,3302,3303,3304],"class_list":["post-3195","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-innovacion","tag-ciberdelincuencia","tag-ciberdelito-de-habla-rusa","tag-crimeware","tag-descripciones-de-malware","tag-malware","tag-malware-financiero","tag-monedas-digitales-criptodivisas","tag-rat-troyano","tag-tecnologias-de-malware","tag-troyano","tag-troyano-ladron"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/3195","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=3195"}],"version-history":[{"count":12,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/3195\/revisions"}],"predecessor-version":[{"id":8028,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/3195\/revisions\/8028"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/3196"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=3195"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=3195"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=3195"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}