Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El análisis del servidor C2 de SystemBC Malware expone trucos de entrega de carga útil
  • Tecnología

El análisis del servidor C2 de SystemBC Malware expone trucos de entrega de carga útil

teknomers 25 de Ocak de 2024 (Last updated: 25 de Ocak de 2024) 4 minutes read
El análisis del servidor C2 de SystemBC Malware expone trucos


25 de enero de 2024Sala de redacciónTroyano de acceso remoto

Los investigadores de ciberseguridad han arrojado luz sobre el servidor de comando y control (C2) de una conocida familia de malware llamada SistemaBC.

“SystemBC se puede comprar en mercados clandestinos y se suministra en un archivo que contiene el implante, un servidor de comando y control (C2) y un portal de administración web escrito en PHP”, Kroll dicho en un análisis publicado la semana pasada.

El proveedor de soluciones de asesoramiento financiero y de riesgos dijo que ha sido testigo de un aumento en el uso de malware durante el segundo y tercer trimestre de 2023.

SystemBC, observado por primera vez en estado salvaje en 2018, permite a los actores de amenazas controlar remotamente un host comprometido y entregar cargas útiles adicionales, incluidos troyanos, Cobalt Strike y ransomware. También ofrece soporte para lanzar módulos auxiliares sobre la marcha para ampliar su funcionalidad principal.

La seguridad cibernética

Un aspecto destacado del malware gira en torno al uso de servidores proxy SOCKS5 para enmascarar el tráfico de red hacia y desde la infraestructura C2, actuando como un mecanismo de acceso persistente para la post-explotación.

Los clientes que terminan comprando SystemBC reciben un paquete de instalación que incluye el ejecutable del implante, archivos binarios de Windows y Linux para el servidor C2 y un archivo PHP para renderizar la interfaz del panel C2, junto con instrucciones en inglés y ruso que detallan los pasos y comandos. correr.

Los ejecutables del servidor C2 – “server.exe” para Windows y “server.out” para Linux – están diseñados para abrir no menos de tres puertos TCP para facilitar el tráfico C2 y la comunicación entre procesos (IPC) entre él y el Interfaz de panel basada en PHP (normalmente puerto 4000) y una para cada implante activo (también conocido como bot).

El componente del servidor también utiliza otros tres archivos para registrar información sobre la interacción del implante como proxy y cargador, así como detalles relacionados con las víctimas.

El panel basado en PHP, por otro lado, es de naturaleza minimalista y muestra una lista de implantes activos en un momento dado. Además, actúa como un conducto para ejecutar shellcode y archivos arbitrarios en la máquina víctima.

“La funcionalidad del código shell no sólo se limita a un shell inverso, sino que también tiene capacidades remotas completas que pueden inyectarse en el implante en tiempo de ejecución, aunque es menos obvia que generar cmd.exe para un shell inverso”, dijeron los investigadores de Kroll.

El desarrollo se produce cuando la compañía también compartió un análisis de una versión actualizada de DarkGate (versión 5.2.3), un troyano de acceso remoto (RAT) que permite a los atacantes comprometer completamente los sistemas de las víctimas, desviar datos confidenciales y distribuir más malware.

La seguridad cibernética

“La versión de DarkGate que se analizó mezcla el alfabeto Base64 en uso en la inicialización del programa”, dijo el investigador de seguridad Sean Straw. dicho. “DarkGate intercambia el último carácter con un carácter aleatorio anterior, moviéndose de atrás hacia adelante en el alfabeto”.

Kroll dijo que identificó una debilidad en este alfabeto Base64 personalizado que hace que sea trivial decodificar la configuración en el disco y las salidas del registro de teclas, que se codifican usando el alfabeto y se almacenan dentro de una carpeta de exfiltración en el sistema.

“Este análisis permite a los analistas forenses decodificar la configuración y los archivos del keylogger sin necesidad de determinar primero la identificación del hardware”, dijo Straw. “Los archivos de salida del keylogger contienen pulsaciones de teclas robadas por DarkGate, que pueden incluir contraseñas escritas, correos electrónicos redactados y otra información confidencial”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Mejoras técnicas en propuesta de nuevo sistema caja 3
Next: Tras conducta antideportiva: se determinó sanción para el entrenador del Unión

Related Stories

Lego enfrenta uno de los mayores mitos de la Nasa
  • Tecnología

Lego enfrenta uno de los mayores mitos de la Nasa (y el resultado es espléndido)

teknomers 12 de Temmuz de 2026
Cómo Orange prepara su red para absorber 2 millones de
  • Tecnología

Cómo Orange prepara su red para absorber 2 millones de clientes más este verano

teknomers 12 de Temmuz de 2026
Para su primera fachada Steam Machine, JSAUX pide a los
  • Tecnología

Para su primera fachada Steam Machine, JSAUX pide a los jugadores que elijan

teknomers 12 de Temmuz de 2026

You May Have Missed

  • Deporte

Bombas, sangre, emboscadas: por qué los entrenadores de fútbol se entrenan con el ejército

teknomers 13 de Temmuz de 2026
« ¡La Mbappémania nos invade! »: en México, el divertido
  • Deporte

« ¡La Mbappémania nos invade! »: en México, el divertido video de los periodistas de un canal de televisión antes de Francia – España

teknomers 13 de Temmuz de 2026
Fleurance. Ehpad Cadéot: un hermoso viaje a Argelès-sur-Mer para los
  • salud

Fleurance. Ehpad Cadéot: un hermoso viaje a Argelès-sur-Mer para los residentes

teknomers 13 de Temmuz de 2026
En Toronto, una tiroteo durante un festival de salsa deja
  • Entretenimiento

En Toronto, una tiroteo durante un festival de salsa deja dos muertos y cuatro heridos graves

teknomers 13 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.