Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • La campaña Resolverrat se dirige a la atención médica, farmacéutica a través de phishing y dll carga lateral
  • Tecnología

La campaña Resolverrat se dirige a la atención médica, farmacéutica a través de phishing y dll carga lateral

teknomers 14 de Nisan de 2025 (Last updated: 14 de Nisan de 2025) 5 minutes read
La campaña Resolverrat se dirige a la atención médica, farmacéutica


Los investigadores de ciberseguridad han descubierto un nuevo y sofisticado troyano de acceso remoto llamado Resolverrat que se ha observado en ataques dirigidos a los sectores de atención médica y farmacéutica.

“El actor de amenaza aprovecha los señuelos basados ​​en el miedo entregados a través de correos electrónicos de phishing, diseñados para presionar a los destinatarios para que haga clic en un enlace malicioso”, el investigador de Morphisec Labs Nadav Lorber dicho En un informe compartido con The Hacker News. “Una vez que se accede, el enlace dirige al usuario que descargue y abra un archivo que desencadena la cadena de ejecución de ResuelverRat”.

La actividad, observada tan recientemente como el 10 de marzo de 2025, comparte el mecanismo de infraestructura y de entrega superpuesto con campañas de phishing que han entregado malware de robador de información como Lumma y Rhadamanthys, según lo documentado por Cisco Talos y Check Point el año pasado.

Ciberseguridad

Un aspecto notable de la campaña es el uso de señuelos de phishing localizados, con los correos electrónicos diseñados en los idiomas que se hablan predominantemente en los países objetivo. Esto incluye hindi, italiano, checo, turco, portugués e indonesio, lo que indica los intentos del actor de amenaza de lanzar una red amplia a través de la orientación específica de la región y maximizar las tasas de infección.

El contenido textual en los mensajes de correo electrónico emplea temas relacionados con investigaciones legales o violaciones de derechos de autor que buscan inducir un falso sentido de urgencia y aumentar la probabilidad de interacción del usuario.

La cadena de infección se caracteriza por el uso de la técnica de carga lateral DLL para iniciar el proceso. La primera etapa es un cargador en memoria que descifra y ejecuta la carga útil principal al tiempo que incorpora un grupo de trucos para volar bajo el radar. La carga útil de ResolverRat no solo usa el cifrado y la compresión, sino que también existe solo en la memoria una vez que está decodificada.

“La secuencia de inicialización del Resolverrat revela un sofisticado proceso de arranque en varias etapas diseñado para el sigilo y la resiliencia”, dijo Lorber, y agregó “implementa múltiples métodos de persistencia redundantes” por medio del registro de Windows y en el sistema de archivos instalándose en diferentes ubicaciones como un mecanismo de respaldo.

Una vez lanzado, el malware utiliza una autenticación basada en certificados a medida antes de establecer el contacto con un servidor de comando y control (C2) de modo que pase por alto las autoridades raíz de la máquina. También implementa un sistema de rotación IP para conectarse a un servidor C2 alternativo si el servidor C2 primario no está disponible o se retira.

Además, ResolverRat está equipado con capacidades para evitar los esfuerzos de detección a través de la fijación de certificados, la ofuscación del código fuente y los patrones de baliza irregulares al servidor C2.

“Esta infraestructura C2 avanzada demuestra las capacidades avanzadas del actor de amenaza, que combina comunicaciones seguras, mecanismos de retroceso y técnicas de evasión diseñadas para mantener el acceso persistente mientras evade la detección por los sistemas de monitoreo de seguridad”, dijo Morphisec.

El objetivo final del malware es procesar los comandos emitidos por el servidor C2 y exfiltrar las respuestas hacia atrás, rompiendo datos de 1 MB de tamaño en fragmentos de 16 kb para minimizar las posibilidades de detección.

La campaña aún no se ha atribuido a un grupo o país específico, aunque las similitudes en los temas de señuelo y el uso de la carga lateral de DLL con ataques de phishing previamente observados aluden a una posible conexión.

“La alineación […] Indica una posible superposición en la infraestructura de actores de amenaza o los libros de jugadas operativas, lo que potencialmente apunta a un modelo afiliado compartido o una actividad coordinada entre los grupos de amenazas relacionados “, dijo la compañía.

Ciberseguridad

El desarrollo se produce cuando Cyfirma detalló otro acceso remoto a Neptune Rat que utiliza un enfoque modular basado en complementos para robar información, mantener la persistencia en el host, exigir un rescate de $ 500 e incluso sobrescribir el registro de arranque maestro (MBR) para interrumpir el funcionamiento normal del sistema de Windows.

Se está propagando libremente a través de Github, Telegram y YouTube. Dicho esto, el perfil de GitHub asociado con el malware, llamado Masongroup (también conocido como masonería), ya no es accesible.

“Neptuno Rat incorpora técnicas avanzadas contra el análisis y métodos de persistencia para mantener su presencia en el sistema de la víctima durante períodos prolongados y viene con características peligrosas”, la compañía anotado En un análisis publicado la semana pasada.

Incluye un “Cripto Clipper, robador de contraseñas con capacidades para exfiltrarse más de más de 270 credenciales de aplicaciones diferentes, capacidades de ransomware y monitoreo de escritorio en vivo, por lo que es una amenaza extremadamente seria”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Enorme explosión, este hombre cometió un ataque contra la tienda de peluquería
Next: Bakkelei sobre el espacio en las finanzas, el lenguaje de guerra de los salvajes: derechos de la realidad para la coalición de ala derecha

Related Stories

Oppo Bubble: la pantalla AMOLED para selfies ahora compatible con
  • Tecnología

Oppo Bubble: la pantalla AMOLED para selfies ahora compatible con iPhone

teknomers 1 de Temmuz de 2026
Discos incluidos por 300€: Xiaomi quiere revolucionar el almacenamiento en
  • Tecnología

Discos incluidos por 300€: Xiaomi quiere revolucionar el almacenamiento en red con su primer NAS

teknomers 1 de Temmuz de 2026
Boulanger rompe los precios en las rebajas: hasta 260 €
  • Tecnología

Boulanger rompe los precios en las rebajas: hasta 260 € de descuento en iPhone, Samsung, Dyson y Philips

teknomers 1 de Temmuz de 2026

You May Have Missed

Saint-Gaudens ante la escasez de médicos: la Región abre su
  • salud

Saint-Gaudens ante la escasez de médicos: la Región abre su 27º centro de salud para combatir la desertificación médica

teknomers 1 de Temmuz de 2026
«Eso sucede 1 000 veces mejor»: para su segundo hijo,
  • Entretenimiento

«Eso sucede 1 000 veces mejor»: para su segundo hijo, el permiso de paternidad lo cambia todo

teknomers 1 de Temmuz de 2026
  • General

Irán y Omán impulsan propuesta de tarifas para el estrecho de Ormuz a pesar de la oposición de Washington

teknomers 1 de Temmuz de 2026
  • Deporte

Rangers: Hull City vende al portero Ivor Pandur al club de Ibrox

teknomers 1 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.