Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • La versión para macOS del backdoor HZ RAT ataca a los usuarios de la aplicación de mensajería china
  • Tecnología

La versión para macOS del backdoor HZ RAT ataca a los usuarios de la aplicación de mensajería china

teknomers 27 de Ağustos de 2024 (Last updated: 27 de Ağustos de 2024) 4 minutes read
La versión para macOS del backdoor HZ RAT ataca a


27 de agosto de 2024Ravie LakshmananEspionaje cibernético / Malware

Los usuarios de aplicaciones de mensajería instantánea chinas como DingTalk y WeChat son el objetivo de una versión para macOS de Apple de una puerta trasera llamada RATA HZ.

Los artefactos “replican casi exactamente la funcionalidad de la versión de Windows del backdoor y difieren solo en la carga útil, que se recibe en forma de scripts de shell desde el servidor de los atacantes”, dijo el investigador de Kaspersky, Sergey Puzan. dicho.

HZ RAT fue documentado por primera vez por la empresa alemana de ciberseguridad DCSO en noviembre de 2022, y el malware se distribuyó a través de archivos zip autoextraíbles o documentos RTF maliciosos presuntamente creados con el arma Royal Road RTF.

Ciberseguridad

Las cadenas de ataque que involucran documentos RTF están diseñadas para implementar la versión de Windows del malware que se ejecuta en el host comprometido explotando una falla de Microsoft Office de hace años en el Editor de ecuaciones (CVE-2017-11882).

El segundo método de distribución, por otro lado, se hace pasar por un instalador de software legítimo como OpenVPN, PuTTYgen o EasyConnect, que además de instalar realmente el programa señuelo, también ejecuta un Visual Basic Script (VBS) responsable de iniciar el RAT.

Las capacidades de HZ RAT son bastante simples, ya que se conecta a un servidor de comando y control (C2) para recibir más instrucciones. Esto incluye ejecutar comandos y scripts de PowerShell, escribir archivos arbitrarios en el sistema, cargar archivos al servidor y enviar información de latidos.

Dada la funcionalidad limitada de la herramienta, se sospecha que el malware se utiliza principalmente para recopilar credenciales y realizar actividades de reconocimiento del sistema.

La evidencia muestra que las primeras iteraciones del malware se detectaron en la red ya en junio de 2020. Se cree que la campaña en sí, según DCSO, está activa desde al menos octubre de 2020.

Usuarios de la aplicación de mensajería china

La última muestra descubierta por Kaspersky, subida a VirusTotal en julio de 2023, se hace pasar por OpenVPN Connect (“OpenVPNConnect.pkg”) que, una vez iniciado, establece contacto con un servidor C2 especificado en la puerta trasera para ejecutar cuatro comandos básicos similares a los de su homólogo de Windows:

  • Ejecutar comandos de shell (por ejemplo, información del sistema, dirección IP local, lista de aplicaciones instaladas, datos de DingTalk, Google Password Manager y WeChat)
  • Escribir un archivo en el disco
  • Enviar un archivo al servidor C2
  • Comprobar la disponibilidad de una víctima

“El malware intenta obtener el WeChatID, el correo electrónico y el número de teléfono de la víctima a través de WeChat”, dijo Puzan. “En cuanto a DingTalk, los atacantes están interesados ​​en datos más detallados de la víctima: nombre de la organización y departamento donde trabaja el usuario, nombre de usuario, dirección de correo electrónico corporativa, [and] número de teléfono.”

Ciberseguridad

Un análisis más detallado de la infraestructura de ataque ha revelado que casi todos los servidores C2 están ubicados en China, salvo dos que se encuentran en Estados Unidos y los Países Bajos.

Además de eso, se dice que el archivo ZIP que contiene el paquete de instalación de macOS (“OpenVPNConnect.zip”) se descargó previamente de un dominio perteneciente a un desarrollador de videojuegos chino llamado miHoYo, conocido por Genshin Impact y Honkai.

Actualmente no está claro cómo se cargó el archivo al dominio en cuestión (“vpn.mihoyo[.]com”) y si el servidor fue comprometido en algún momento en el pasado. Tampoco se ha determinado cuán extendida está la campaña, pero el hecho de que la puerta trasera se esté utilizando incluso después de todos estos años indica cierto grado de éxito.

“La versión para macOS de HZ Rat que encontramos muestra que los actores de amenazas detrás de los ataques anteriores aún están activos”, dijo Puzan. “El malware solo recopilaba datos de los usuarios, pero luego podía usarse para moverse lateralmente a través de la red de la víctima, como lo sugiere la presencia de direcciones IP privadas en algunas muestras”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Hat trick para el inaccesible corredor del Visma, Wout van Aert, tras una difícil subida en la Vuelta
Next: Fondo Atlas América: "Dr. Condenar" Nouriel Roubini entra en el universo ETF

Related Stories

El tour de force del francés Withings, que se inserta
  • Tecnología

El tour de force del francés Withings, que se inserta en el sistema de salud estadounidense.

teknomers 16 de Temmuz de 2026
Esta meteorito que cayó sobre una casa nos ofrece pistas
  • Tecnología

Esta meteorito que cayó sobre una casa nos ofrece pistas clave sobre el origen de la vida en la Tierra.

teknomers 16 de Temmuz de 2026
TSMC va a invertir la increíble suma de 100 mil
  • Tecnología

TSMC va a invertir la increíble suma de 100 mil millones de dólares en Estados Unidos

teknomers 16 de Temmuz de 2026

You May Have Missed

  • General

Lecciones de vida: Cita del día de Clark Gable: “La única razón por la que vienen a verme es… — Lecciones inspiradoras sobre optimismo, confianza, felicidad, gratitud y por qué deberías aprovechar al máximo cada momento, por el icónico actor conocido por sus poderosas actuaciones y profundas reflexiones sobre la positividad y la belleza de abrazar la vida.

teknomers 17 de Temmuz de 2026
  • Deporte

Inglaterra contra India: Joe Root afirma que los bateadores jóvenes están aprendiendo en el trabajo en el cricket ODI

teknomers 16 de Temmuz de 2026
  • General

Operador de teleprompter de Trump bajo investigación por comercio de información privilegiada

teknomers 16 de Temmuz de 2026
  • Deporte

Mercato: un joven portero de Angers se acerca a Manchester City

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.