Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El análisis del servidor C2 de SystemBC Malware expone trucos de entrega de carga útil
  • Tecnología

El análisis del servidor C2 de SystemBC Malware expone trucos de entrega de carga útil

teknomers 25 de Ocak de 2024 (Last updated: 25 de Ocak de 2024) 4 minutes read
El análisis del servidor C2 de SystemBC Malware expone trucos


25 de enero de 2024Sala de redacciónTroyano de acceso remoto

Los investigadores de ciberseguridad han arrojado luz sobre el servidor de comando y control (C2) de una conocida familia de malware llamada SistemaBC.

“SystemBC se puede comprar en mercados clandestinos y se suministra en un archivo que contiene el implante, un servidor de comando y control (C2) y un portal de administración web escrito en PHP”, Kroll dicho en un análisis publicado la semana pasada.

El proveedor de soluciones de asesoramiento financiero y de riesgos dijo que ha sido testigo de un aumento en el uso de malware durante el segundo y tercer trimestre de 2023.

SystemBC, observado por primera vez en estado salvaje en 2018, permite a los actores de amenazas controlar remotamente un host comprometido y entregar cargas útiles adicionales, incluidos troyanos, Cobalt Strike y ransomware. También ofrece soporte para lanzar módulos auxiliares sobre la marcha para ampliar su funcionalidad principal.

La seguridad cibernética

Un aspecto destacado del malware gira en torno al uso de servidores proxy SOCKS5 para enmascarar el tráfico de red hacia y desde la infraestructura C2, actuando como un mecanismo de acceso persistente para la post-explotación.

Los clientes que terminan comprando SystemBC reciben un paquete de instalación que incluye el ejecutable del implante, archivos binarios de Windows y Linux para el servidor C2 y un archivo PHP para renderizar la interfaz del panel C2, junto con instrucciones en inglés y ruso que detallan los pasos y comandos. correr.

Los ejecutables del servidor C2 – “server.exe” para Windows y “server.out” para Linux – están diseñados para abrir no menos de tres puertos TCP para facilitar el tráfico C2 y la comunicación entre procesos (IPC) entre él y el Interfaz de panel basada en PHP (normalmente puerto 4000) y una para cada implante activo (también conocido como bot).

El componente del servidor también utiliza otros tres archivos para registrar información sobre la interacción del implante como proxy y cargador, así como detalles relacionados con las víctimas.

El panel basado en PHP, por otro lado, es de naturaleza minimalista y muestra una lista de implantes activos en un momento dado. Además, actúa como un conducto para ejecutar shellcode y archivos arbitrarios en la máquina víctima.

“La funcionalidad del código shell no sólo se limita a un shell inverso, sino que también tiene capacidades remotas completas que pueden inyectarse en el implante en tiempo de ejecución, aunque es menos obvia que generar cmd.exe para un shell inverso”, dijeron los investigadores de Kroll.

El desarrollo se produce cuando la compañía también compartió un análisis de una versión actualizada de DarkGate (versión 5.2.3), un troyano de acceso remoto (RAT) que permite a los atacantes comprometer completamente los sistemas de las víctimas, desviar datos confidenciales y distribuir más malware.

La seguridad cibernética

“La versión de DarkGate que se analizó mezcla el alfabeto Base64 en uso en la inicialización del programa”, dijo el investigador de seguridad Sean Straw. dicho. “DarkGate intercambia el último carácter con un carácter aleatorio anterior, moviéndose de atrás hacia adelante en el alfabeto”.

Kroll dijo que identificó una debilidad en este alfabeto Base64 personalizado que hace que sea trivial decodificar la configuración en el disco y las salidas del registro de teclas, que se codifican usando el alfabeto y se almacenan dentro de una carpeta de exfiltración en el sistema.

“Este análisis permite a los analistas forenses decodificar la configuración y los archivos del keylogger sin necesidad de determinar primero la identificación del hardware”, dijo Straw. “Los archivos de salida del keylogger contienen pulsaciones de teclas robadas por DarkGate, que pueden incluir contraseñas escritas, correos electrónicos redactados y otra información confidencial”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Mejoras técnicas en propuesta de nuevo sistema caja 3
Next: Tras conducta antideportiva: se determinó sanción para el entrenador del Unión

Related Stories

Lego enfrenta uno de los mayores mitos de la Nasa
  • Tecnología

Lego enfrenta uno de los mayores mitos de la Nasa (y el resultado es espléndido)

teknomers 12 de Temmuz de 2026
Cómo Orange prepara su red para absorber 2 millones de
  • Tecnología

Cómo Orange prepara su red para absorber 2 millones de clientes más este verano

teknomers 12 de Temmuz de 2026
Para su primera fachada Steam Machine, JSAUX pide a los
  • Tecnología

Para su primera fachada Steam Machine, JSAUX pide a los jugadores que elijan

teknomers 12 de Temmuz de 2026

You May Have Missed

  • General

Cita del día de John Denver: ‘Debemos comenzar a hacer lo que yo llamo ‘elecciones conscientes’, y realmente reconocer…’ – Cantante de country sobre cómo la paz empieza con una simple conciencia

teknomers 13 de Temmuz de 2026
Francia-España: ¿Quién es Ivan Barton, el árbitro salvadoreño que pitó
  • Deporte

Francia-España: ¿Quién es Ivan Barton, el árbitro salvadoreño que pitó en la semifinal de la Copa del Mundo?

teknomers 13 de Temmuz de 2026
  • Deporte

Tour de Francia 2026: Mathieu van der Poel gana la novena etapa reducida

teknomers 13 de Temmuz de 2026
"Se quiere tranquilizar a los padres": tras la detección de
  • salud

“Se quiere tranquilizar a los padres”: tras la detección de un gas radiactivo en una escuela, la nueva municipalidad quiere controlar todos los establecimientos escolares de Foix para calmar los ánimos.

teknomers 13 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.