Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El nuevo malware WinTapix.sys participa en un ataque de varias etapas en Oriente Medio
  • Tecnología

El nuevo malware WinTapix.sys participa en un ataque de varias etapas en Oriente Medio

teknomers 23 de Mayıs de 2023 5 minutes read


23 de mayo de 2023Ravie LakshmanánSeguridad de punto final/malware

Malware WinTapix.sys

Se ha observado a un actor de amenazas desconocido aprovechando un controlador de kernel de Windows malicioso en ataques que probablemente apuntan a Oriente Medio desde al menos mayo de 2020.

Fortinet Fortiguard Labs, que apodó el artefacto WINTAPIX (WinTapix.sys), atribuyó el malware con poca confianza a un actor de amenazas iraní.

“WinTapix.sys es esencialmente un cargador”, los investigadores de seguridad Geri Revay y Hossein Jazi dicho en un informe publicado el lunes. “Por lo tanto, su propósito principal es producir y ejecutar la siguiente etapa del ataque. Esto se hace usando un shellcode”.

Las muestras y los datos de telemetría analizados por Fortinet muestran que el enfoque principal de la campaña está en Arabia Saudita, Jordania, Qatar y los Emiratos Árabes Unidos. La actividad no se ha vinculado a un actor o grupo de amenazas conocido.

Mediante el uso de un malicioso modo núcleo controlador, la idea es subvertir o deshabilitar los mecanismos de seguridad y obtener acceso consolidado al host objetivo.

Dichos controladores se ejecutan dentro del memoria del núcleo y puede, por lo tanto, realizar cualquier operación, incluso alterar los mecanismos críticos de seguridad y ejecutando código arbitrario con los más altos privilegios.

En otras palabras, ofrece una manera sigilosa a infiltrarse más profundo en el sistema de destino, mantener la persistencia y ejecutar cargas útiles adicionales o comandos como parte del ataque de múltiples etapas del actor de amenazas.

Malware WinTapix.sys

Una medida de seguridad clave para mitigar los controladores maliciosos es Driver Signature Enforcement, que garantiza que solo los controladores firmados por Microsoft se puedan cargar en el sistema. El gigante tecnológico también mantiene reglas de bloqueo del controlador para proteger contra controladores vulnerables conocidos.

WinTapix.sys, por otro lado, viene con una firma no válida, lo que indica que el autor de la amenaza primero tendrá que cargar un controlador legítimo pero vulnerable para iniciar WINTAPIX.

PRÓXIMO SEMINARIO WEB

Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!

Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!

Guardar mi asiento!

Pero una vez que se carga en el kernel, WinTapix.sys se configura para inyectar un shellcode incrustado en un proceso de modo de usuario adecuado que, a su vez, ejecuta una carga útil cifrada de .NET.

WINTAPIX, además de incrustar el shellcode creado usando el código abierto proyecto de donasestablece persistencia a través de modificaciones en el Registro de Windows que permite cargarlo incluso cuando la máquina está arrancada Modo seguro.

Por su parte, el malware .NET está equipado con funciones de puerta trasera y proxy para ejecutar comandos, descargar y cargar archivos y funcionar como un proxy para pasar datos entre dos puntos finales de comunicación.

“Dado que se sabe que los actores de amenazas iraníes explotan los servidores de Exchange para implementar malware adicional, también es posible que este controlador se haya empleado junto con los ataques de Exchange”, dijeron los investigadores.

“Hasta ese punto, el tiempo de compilación de los controladores también está alineado con los tiempos en que los actores de amenazas iraníes estaban explotando las vulnerabilidades del servidor de Exchange”.

El desarrollo se produce cuando se ha observado que el grupo de ransomware ALPHV (también conocido como BlackCat o Noberus) se aprovecha de un controlador malicioso firmado para afectar las defensas de seguridad y escapar de la detección durante períodos prolongados.

El controlador en cuestión, ktgn.sys, es una versión actualizada de POORTRY que se firma con un certificado de firma cruzada robado o filtrado, firma de ciberseguridad Trend Micro dicho en un informe

POORTRY es el nombre asignado a un controlador del kernel de Windows que viene con capacidades para terminar el software de seguridad. A fines del año pasado, se reveló que lo usaban bandas de ransomware y un actor de amenazas conocido como UNC3944 (también conocido como Roasted 0ktapus y Scattered Spider).

“Los actores maliciosos que buscan activamente acceso de alto privilegio al sistema operativo Windows utilizan técnicas que intentan combatir la mayor protección de los usuarios y procesos a través de la plataforma de protección de punto final (EPP) y las tecnologías de detección y respuesta de punto final (EDR)”, dijo Trend Micro. .

“Estos actores maliciosos también tienden a poseer suficientes recursos financieros para comprar rootkits de fuentes clandestinas o comprar certificados de firma de código para construir un rootkit”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Rubio en una entrevista: “Nos reíamos hasta morir”
Next: La estrella de The Last of Us solicita una orden de alejamiento contra su ex amante: “Es capaz de asesinar”

Related Stories

Aprovecha este generador solar en oferta por menos de 950€,
  • Tecnología

Aprovecha este generador solar en oferta por menos de 950€, ¡el sol se convierte en tu aliado! ☀️

teknomers 6 de Temmuz de 2026
Gracias a las quejas de los particulares, la CNIL multiplica
  • Tecnología

Gracias a las quejas de los particulares, la CNIL multiplica las sanciones por videovigilancia abusiva y cookies no conformes

teknomers 6 de Temmuz de 2026
Este error de Windows 11 puede consumir cientos de GB
  • Tecnología

Este error de Windows 11 puede consumir cientos de GB en tu SSD

teknomers 6 de Temmuz de 2026

You May Have Missed

  • Deporte

Tottenham cierra acuerdo de £100 millones por el centrocampista de Newcastle United Sandro Tonali

teknomers 6 de Temmuz de 2026
  • General

Hamas anuncia la disolución de sus instancias dirigentes en Gaza

teknomers 6 de Temmuz de 2026
  • General

Más de 300 niños muertos o heridos en la guerra de Sudán en 6 meses, según UNICEF

teknomers 6 de Temmuz de 2026
  • Finanzas

Auchan autorizado a ceder 167 tiendas a Intermarché y Netto, de las cuales unas cincuenta están en la región parisina.

teknomers 6 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.