Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nuevo malware TCEB encontrado en ataques activos que explotan el escáner de seguridad ESET
  • Tecnología

Nuevo malware TCEB encontrado en ataques activos que explotan el escáner de seguridad ESET

teknomers 9 de Nisan de 2025 (Last updated: 9 de Nisan de 2025) 5 minutes read
Nuevo malware TCEB encontrado en ataques activos que explotan el


09 de abril de 2025Ravie LakshmananSeguridad / vulnerabilidad de Windows

Se ha observado que un actor de amenaza afiliado a los chinos conocido por sus ataques cibernéticos en Asia explotando un defecto de seguridad en el software de seguridad de ESET para entregar un malware previamente indocumentado con nombre en código TCEB.

“Anteriormente invisible en ataques de Toddycat, [TCESB] está diseñado para ejecutar sigilosamente las cargas útiles en la elección de las herramientas de protección y monitoreo instaladas en el dispositivo “, Kaspersky dicho En un análisis publicado esta semana.

Toddycat es el nombre dado a un grupo de actividades de amenaza que ha atacado a varias entidades en Asia, con ataques que datan hasta al menos diciembre de 2020.

El año pasado, el proveedor de ciberseguridad ruso detalló el uso del grupo de piratería de varias herramientas para mantener el acceso persistente a entornos comprometidos y recolectar datos en una “escala industrial” de organizaciones ubicadas en la región de Asia y el Pacífico.

Ciberseguridad

Kaspersky dijo que su investigación sobre incidentes relacionados con Toddycat a principios de 2024 desenterró un archivo DLL sospechoso (“Version.dll”) en el directorio TEMP en múltiples dispositivos. Se ha encontrado que la DLL de 64 bits, TCEB, se lanza a través de una técnica llamada Secuestro de pedidos de búsqueda de dll Para confiscar el control del flujo de ejecución.

Se dice que esto, a su vez, se logró aprovechando un defecto en el Escáner de línea de comandos ESETque carga inseguamente una DLL llamada “Version.dll” al verificar primero el archivo en el directorio actual y luego verificarlo en los directorios del sistema.

Vale la pena señalar en esta etapa que “versión.dll“es un legítimo Biblioteca de instalación de verificación de versión y de archivos Desde Microsoft que reside en los directorios “C: Windows System32 ” o “C: Windows Syswow64 “.

Una consecuencia de explotar esta laguna es que los atacantes podrían ejecutar su versión maliciosa de “versión.dll” en lugar de su contraparte legítima. La vulnerabilidad, rastreada como CVE-2024-11859 (Puntuación CVSS: 6.8), fue fijado por Eset a fines de enero de 2025 después de la divulgación responsable.

Malware tcesb

“La vulnerabilidad potencialmente permitió a un atacante con privilegios de administrador cargar una biblioteca de enlace dinámico malicioso y ejecutar su código”, ESET dicho en un aviso publicado la semana pasada. “Sin embargo, esta técnica no elevó los privilegios: el atacante ya habría necesitado tener privilegios de administrador para realizar este ataque”.

En un comunicado compartido con Hacker News, la compañía de seguridad cibernética eslovaca dijo que lanzó construcciones fijas de sus productos de seguridad de consumidores, negocios y servidores para el sistema operativo Windows para abordar la vulnerabilidad.

TCEB, por su parte, es una versión modificada de una herramienta de código abierto llamada edrsandblast que incluye características para alterar las estructuras del núcleo del sistema operativo para deshabilitar las rutinas de notificación (también conocido como devoluciones de llamada), que están diseñados para permitir que los conductores sean notificados de eventos específicos, como la creación de procesos o establecer una clave de registro.

Ciberseguridad

Para lograr esto, TCEB aprovecha otra técnica conocida denominada Trae su propio controlador vulnerable (BYOVD) para instalar un controlador vulnerable, un controlador DButilDRV2.Sys, en el sistema a través de la interfaz del administrador de dispositivos. El conductor dButilDRV2.Sys es susceptible a una falla de escalada de privilegio conocida rastreada como CVE-2021-36276.

Este no es los primeros conductores de Dell han sido abusados ​​con fines maliciosos. En 2022, una vulnerabilidad de escalada de privilegio similar (CVE-2021-21551) En otro conductor de Dell, DButil_2_3.Sys, también fue explotado como parte de los ataques de BYOVD por el grupo Lázaro vinculado a Corea del Norte para desactivar los mecanismos de seguridad.

“Una vez que el controlador vulnerable está instalado en el sistema, TCEB ejecuta un bucle en el que verifica cada dos segundos por la presencia de un archivo de carga útil con un nombre específico en el directorio actual: la carga útil puede no estar presente al momento de iniciar la herramienta”, dijo el investigador de Kaspersky, Andrey Gunkin.

Si bien los artefactos de carga útil no están disponibles, un análisis adicional ha determinado que están encriptados usando AES-128 y que están decodificados y ejecutados tan pronto como aparecen en la ruta especificada.

“Para detectar la actividad de tales herramientas, se recomienda monitorear los sistemas para eventos de instalación que involucran a conductores con vulnerabilidades conocidas”, dijo Kaspersky. “También vale la pena monitorear los eventos asociados con la carga de símbolos de depuración del kernel de Windows en dispositivos donde no se espera la depuración del núcleo del sistema operativo”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Doce meses de prisión con demora exigida para el director escolar que oscureció 180,000 euros
Next: Residente fallecido Después de que el despliegue policial tenía 18 años, comenzó una nueva investigación

Related Stories

Memoria DRAM: el chino CXMT alcanzará a Micron a partir
  • Tecnología

Memoria DRAM: el chino CXMT alcanzará a Micron a partir de este año

teknomers 17 de Temmuz de 2026
Pack GoPro HERO13 Black a 356,06 € en lugar de
  • Tecnología

Pack GoPro HERO13 Black a 356,06 € en lugar de 499,99 € en Teknomers

teknomers 17 de Temmuz de 2026
Apple AirPods Max a 354,80 € en lugar de 579
  • Tecnología

Apple AirPods Max a 354,80 € en lugar de 579 €: récord de disminución en Teknomers

teknomers 17 de Temmuz de 2026

You May Have Missed

  • Deporte

Derry City: Investigación en curso tras el desorden en el Estadio Brandywell

teknomers 17 de Temmuz de 2026
  • General

Venezuela: tres semanas después del doble sismo, el balance asciende a 4930 muertos

teknomers 17 de Temmuz de 2026
  • General

Familias de la tragedia aérea en Pakistán exigen ayuda internacional para encontrar las cajas negras

teknomers 17 de Temmuz de 2026
  • Deporte

Mercato Paris FC: « Esto significa mucho », el delantero del FC Lorient Pablo Pagis se compromete oficialmente por 5 años.

teknomers 17 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.