Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Ciberdelincuentes que utilizan PowerShell para robar hashes NTLMv2 de Windows comprometido
  • Tecnología

Ciberdelincuentes que utilizan PowerShell para robar hashes NTLMv2 de Windows comprometido

teknomers 11 de Eylül de 2023 (Last updated: 11 de Eylül de 2023) 3 minutes read
Ciberdelincuentes que utilizan PowerShell para robar hashes NTLMv2 de Windows


11 de septiembre de 2023THNSeguridad de terminales/malware

Una nueva campaña de ciberataque está aprovechando el script de PowerShell asociado con una herramienta legítima de equipo rojo para saquear hashes NTLMv2 de sistemas Windows comprometidos ubicados principalmente en Australia, Polonia y Bélgica.

La actividad recibió el nombre en código Steal-It de Zscaler ThreatLabz.

“En esta campaña, los actores de amenazas roban y exfiltran hashes NTLMv2 utilizando versiones personalizadas de Nishang Script de PowerShell de inicio de CaptureServerejecutando varios comandos del sistema y extrayendo los datos recuperados a través de las API de Mockbin”, dijeron los investigadores de seguridad Niraj Shivtarkar y Avinash Kumar.

La seguridad cibernética

Nishang es un marco y una colección de scripts y cargas útiles de PowerShell para seguridad ofensiva, pruebas de penetración y formación de equipos rojos.

PowerShell para robar hashes NTLMv2

Los ataques aprovechan hasta cinco cadenas de infección diferentes, aunque todas aprovechan los correos electrónicos de phishing que contienen archivos ZIP como punto de partida para infiltrarse en objetivos específicos utilizando técnicas de geofencing.

  • Cadena de infección por robo de hash NTLMv2que emplea una versión personalizada del script de PowerShell Start-CaptureServer mencionado anteriormente para recolectar hashes NTLMv2
  • Cadena de infección por robo de información del sistemaque Onlyfans atrae a los usuarios australianos para que descarguen un archivo CMD que roba información del sistema.
  • Cadena de infección fansly whoamique utiliza imágenes explícitas de modelos Fansly ucranianos y rusos para atraer a los usuarios polacos a descargar un archivo CMD que filtra los resultados del comando whoami.
  • Cadena de infección de actualización de Windowsque apunta a usuarios belgas con scripts de actualización de Windows falsos diseñados para ejecutar comandos como tasklist y systeminfo.

Vale la pena señalar que la última secuencia de ataque fue destacada por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en mayo de 2023 como parte de una campaña APT28 dirigida contra instituciones gubernamentales del país.

PRÓXIMO SEMINARIO WEB

Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad

¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad

Potencia tus habilidades

Esto plantea la posibilidad de que la campaña Steal-It también pueda ser obra del actor de amenazas patrocinado por el estado ruso.

“Los scripts de PowerShell personalizados de los actores de amenazas y el uso estratégico de archivos LNK dentro de archivos ZIP resaltan su experiencia técnica”, dijeron los investigadores. “La persistencia mantenida al mover archivos desde la carpeta Descargas a Inicio y cambiarles el nombre subraya la dedicación de los actores de amenazas al acceso prolongado”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Los fanáticos del Arsenal piden que Wilshere salga de su retiro después de que se viralizaran imágenes de un jugador de 31 años dominando el kickabout
Next: Vagabond Shoemakers se está expandiendo a Asia

Related Stories

¿Una GeForce RTX 5090 SE en lugar de una RTX
  • Tecnología

¿Una GeForce RTX 5090 SE en lugar de una RTX 5080 Ti en NVIDIA?

teknomers 12 de Temmuz de 2026
Detenida por AYANEO, la ultrapotente consola NEXT 2 llega a
  • Tecnología

Detenida por AYANEO, la ultrapotente consola NEXT 2 llega a finales de julio con precios cada vez más sorprendentes.

teknomers 12 de Temmuz de 2026
Prueba del LG UltraFine 6K 32U990A-S: el 6K al servicio
  • Tecnología

Prueba del LG UltraFine 6K 32U990A-S: el 6K al servicio de los creativos

teknomers 12 de Temmuz de 2026

You May Have Missed

  • Finanzas

«Es económico y se puede maltratar»: con la cámara desechable, recuerdos duraderos

teknomers 12 de Temmuz de 2026
Copa del Mundo: Messi, nuevo máximo asistente en la historia
  • Deporte

Copa del Mundo: Messi, nuevo máximo asistente en la historia de la competición

teknomers 12 de Temmuz de 2026
  • Cultura

Una exposición llena de frescura: cincuenta sombras de naturaleza en la Maison Caillebotte, en Yerres

teknomers 12 de Temmuz de 2026
¿Una GeForce RTX 5090 SE en lugar de una RTX
  • Tecnología

¿Una GeForce RTX 5090 SE en lugar de una RTX 5080 Ti en NVIDIA?

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.