Los ciberatacantes nunca dejan de inventar nuevas formas de comprometer sus objetivos. Es por eso que las organizaciones deben mantenerse actualizadas sobre las últimas amenazas.
A continuación se ofrece un resumen rápido de los ataques de phishing y malware actuales que necesita conocer para salvaguardar su infraestructura antes de que le alcancen.
Ataque de día cero: los archivos maliciosos corruptos evaden la detección de la mayoría de los sistemas de seguridad
El equipo de analistas de CUALQUIER EJECUCIÓN recientemente compartió su análisis de un ataque de día cero en curso. Ha estado activo desde al menos agosto y, hasta el día de hoy, la mayoría del software de detección no lo aborda.
El ataque implica el uso de documentos de Word y archivos ZIP intencionalmente dañados con archivos maliciosos en su interior.
 |
| VirusTotal muestra 0 detecciones para uno de los archivos corruptos |
Debido a la corrupción, los sistemas de seguridad no pueden identificar adecuadamente el tipo de estos archivos y ejecutar análisis sobre ellos, lo que resulta en cero detecciones de amenazas.
 |
| Word preguntará al usuario si desea restaurar un archivo dañado |
Una vez que estos archivos se entregan a un sistema y se abren con sus aplicaciones nativas (Word para docx y WinRAR para zip), se restauran y presentan a la víctima contenidos maliciosos.
El sandbox ANY.RUN es una de las pocas herramientas que detecta esta amenaza. Permite a los usuarios abrir manualmente archivos maliciosos corruptos dentro de una máquina virtual en la nube totalmente interactiva con sus aplicaciones correspondientes y restaurarlos. Esto le permite ver qué tipo de carga útil contiene el archivo.
 |
| Un documento restaurado con un código QR de phishing analizado dentro del sandbox de ANY.RUN |
Verificar esta sesión de espacio aislado con un documento de Word corrupto. Después de la recuperación, podemos ver que hay un código QR con un enlace de phishing incrustado.
 |
| El Sandbox interactivo de ANY.RUN marca el documento y su contenido como maliciosos |
El entorno de pruebas identifica automáticamente la actividad maliciosa y le notifica al respecto.
Pruebe el Sandbox interactivo de ANY.RUN para ver cómo puede acelerar y mejorar su análisis de malware.
Obtenga una prueba de 14 días para probar todas sus funciones avanzadas de forma gratuita →
Un ataque de malware sin archivos a través de un script de PowerShell distribuye Quasar RAT
Otro ataque reciente notable Implica el uso de un cargador sin archivos llamado Psloramyra, que coloca Quasar RAT en los dispositivos infectados.
 |
| ANY.RUN identifica PSLoramyra y sus acciones maliciosas |
Esta sesión de espacio aislado muestra cómo, después de establecerse inicialmente en el sistema, el cargador Psloramyra emplea una técnica LoLBaS (Living off the Land Binaries and Scripts) para iniciar un script de PowerShell.
 |
| Un árbol de procesos en ANY.RUN que muestra toda la cadena de ejecución. |
El script carga una carga maliciosa dinámicamente en la memoria, identifica y utiliza el método Execute del ensamblado .NET cargado y finalmente inyecta Quasar en un proceso legítimo como RegSvcs.exe.
 |
| El sandbox ANY.RUN registra toda la actividad de la red e identifica la conexión C2 de Quasar. |
El malware funciona completamente dentro de la memoria del sistema, lo que garantiza que no deja rastros en el disco físico. Para mantener su presencia, crea una tarea programada que se ejecuta cada dos minutos.
Abuso de Azure Blob Storage en ataques de phishing
Los ciberdelincuentes ahora alojan páginas de phishing en la solución de almacenamiento en la nube de Azure, aprovechando el archivo *.blob.[.]centro[.]ventanas[.]subdominio neto.
Los atacantes utilizan un script para obtener información sobre el software de la víctima, como el sistema operativo y el navegador, que se encuentra en la página para que parezca más confiable. ver ejemplo.
 |
| Formulario de inicio de sesión falso que solicita al usuario que ingrese su información |
El objetivo del ataque es engañar a la víctima para que introduzca sus credenciales de inicio de sesión en un formulario falso, que luego se recopilan y exfiltran.
Emmenhtal Loader utiliza scripts para distribuir Lumma, Amadey y otros programas maliciosos
Emmenhtal es una amenaza emergente que ha estado involucrada en varias campañas durante el año pasado. En uno de los últimos ataques, los delincuentes utilizan scripts para facilitar la cadena de ejecución que implica los siguientes pasos:
- El archivo LNK inicia Forfiles
- Forfiles localiza el panel de ayuda
- PowerShell lanza Mshta con la carga útil de primera etapa cifrada con AES
- Mshta descifra y ejecuta la carga útil descargada
- PowerShell ejecuta un comando cifrado con AES para descifrar Emmenhtal
 |
| Toda la cadena de ejecución demostrada por el sandbox interactivo de ANY.RUN |
El cargador Emmenhtal, que es el script final de PowerShell, ejecuta una carga útil, a menudo Updater.exe, utilizando un archivo binario con un nombre generado como argumento.
Este conduce a la infección por familias de malware como Lumma, Amadey, Hijackloader o Arechclient2.
Analice los últimos ataques cibernéticos con ANY.RUN
Equípese con el Sandbox interactivo de ANY.RUN para realizar análisis avanzados de malware y phishing. El servicio basado en la nube le proporciona un entorno de máquina virtual seguro y completamente funcional, lo que le permite interactuar libremente con los archivos maliciosos y las URL que envíe.
También detecta automáticamente comportamientos maliciosos en tiempo real en las actividades de la red y del sistema.
- Identificar amenazas en
- Ahorre recursos en configuración y mantenimiento
- Registre y examine todas las actividades maliciosas
- Trabaja en modo privado con tu equipo
Obtenga una prueba gratuita de 14 días de ANY.RUN para probar todas las funciones que ofrece →
About the Author
