{"id":1012084,"date":"2023-10-23T23:28:30","date_gmt":"2023-10-23T23:28:30","guid":{"rendered":"https:\/\/teknomers.com\/es\/quasar-rat-aprovecha-la-carga-lateral-de-dll-para-pasar-desapercibido\/"},"modified":"2023-10-23T23:28:33","modified_gmt":"2023-10-23T23:28:33","slug":"quasar-rat-aprovecha-la-carga-lateral-de-dll-para-pasar-desapercibido","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/quasar-rat-aprovecha-la-carga-lateral-de-dll-para-pasar-desapercibido\/","title":{"rendered":"Quasar RAT aprovecha la carga lateral de DLL para pasar desapercibido"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 de octubre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Ciberataque \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Quasar-RAT-aprovecha-la-carga-lateral-de-DLL-para-pasar.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El troyano de acceso remoto de c\u00f3digo abierto conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.quasar_rat\" target=\"_blank\">RATA cu\u00e1sar<\/a> Se ha observado que aprovecha la carga lateral de DLL para pasar desapercibido y desviar sigilosamente datos de hosts de Windows comprometidos.<\/p>\n<p>&#8220;Esta t\u00e9cnica aprovecha la confianza inherente que estos archivos generan dentro del entorno Windows&#8221;, afirman los investigadores de Uptycs Tejaswini Sandapolla y Karthickkumar Kathiresan. <a rel=\"nofollow noopener\" href=\"https:\/\/www.uptycs.com\/blog\/quasar-rat\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada, que detalla la dependencia del malware en ctfmon.exe y calc.exe como parte de la cadena de ataque.<\/p>\n<p>Tambi\u00e9n conocido con los nombres CinaRAT \u200b\u200bo Yggdrasil, Quasar RAT es una herramienta de administraci\u00f3n remota basada en C# capaz de recopilar informaci\u00f3n del sistema, una lista de aplicaciones en ejecuci\u00f3n, archivos, pulsaciones de teclas, capturas de pantalla y ejecutar comandos de shell arbitrarios.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-3.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696226553_73_El-troyano-bancario-Zanubis-para-Android-se-hace-pasar-por.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La carga lateral de DLL es una <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/reports\/dll-side-loading-thorn-side-anti-virus-industry\" target=\"_blank\">popular<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/businessinsights\/tech-explainer-what-is-dll-sideloading\/\" target=\"_blank\">t\u00e9cnica<\/a> adoptado por <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/dll-side-loading-how-to-combat-threat-actor-evasion-techniques\/\" target=\"_blank\">muchos actores de amenazas<\/a> para ejecutar sus propias cargas \u00fatiles colocando un archivo DLL falsificado con un nombre que se sabe que est\u00e1 buscando un ejecutable benigno.<\/p>\n<p>&#8220;Es probable que los adversarios utilicen la carga lateral como medio para enmascarar las acciones que realizan bajo un sistema o proceso de software leg\u00edtimo, confiable y potencialmente elevado&#8221;, MITRE <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">notas<\/a> en su explicaci\u00f3n del m\u00e9todo de ataque.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1698103709_34_Quasar-RAT-aprovecha-la-carga-lateral-de-DLL-para-pasar.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1698103709_34_Quasar-RAT-aprovecha-la-carga-lateral-de-DLL-para-pasar.jpg\" alt=\"RATA cu\u00e1sar\" border=\"0\" data-original-height=\"357\" data-original-width=\"728\" title=\"RATA cu\u00e1sar\"\/><\/a><\/div>\n<p>El punto de partida del ataque documentado por Uptycs es un archivo de imagen ISO que contiene tres archivos: un binario leg\u00edtimo llamado ctfmon.exe renombrado como eBill-997358806.exe, un archivo MsCtfMonitor.dll renombrado como monitor.ini y un archivo malicioso. MsCtfMonitor.dll.<\/p>\n<p>&#8220;Cuando se ejecuta el archivo binario &#8216;eBill-997358806.exe&#8217;, inicia la carga de un archivo titulado &#8216;MsCtfMonitor.dll&#8217; (nombre enmascarado) a trav\u00e9s de una t\u00e9cnica de carga lateral de DLL, dentro de la cual se oculta el c\u00f3digo malicioso&#8221;, dijeron los investigadores. .<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696134768_108_Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El c\u00f3digo oculto es otro ejecutable &#8220;FileDownloader.exe&#8221; que se inyecta en <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/dotnet\/framework\/tools\/regasm-exe-assembly-registration-tool\" target=\"_blank\">Regasm.exe<\/a>la herramienta de registro de ensamblaje de Windows, para iniciar la siguiente etapa, un archivo calc.exe aut\u00e9ntico que carga el Secure32.dll fraudulento nuevamente a trav\u00e9s de la carga lateral de DLL y lanza la carga \u00fatil final de Quasar RAT. <\/p>\n<p>El troyano, por su parte, establece conexiones con un servidor remoto para enviar informaci\u00f3n del sistema e incluso configura un proxy inverso para el acceso remoto al punto final.<\/p>\n<p>La identidad del actor de la amenaza y el vector de acceso inicial exacto utilizado para llevar a cabo el ataque no est\u00e1n claros, pero es probable que se difunda a trav\u00e9s de correos electr\u00f3nicos de phishing, lo que hace imperativo que los usuarios est\u00e9n alerta ante correos electr\u00f3nicos, enlaces o archivos adjuntos dudosos. .<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/quasar-rat-leverages-dll-side-loading.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 de octubre de 2023\ue804Sala de redacci\u00f3nCiberataque \/ Malware El troyano de acceso remoto de c\u00f3digo abierto conocido<\/p>\n","protected":false},"author":1,"featured_media":1012085,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6132,4661,2333,4664,59520,211675,4662,4668,201033,15789,4654,201031,4659,4653,4655,18,8149,211674,63637,4666,4665,201032,4660],"class_list":["post-1012084","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovecha","tag-ataques-ciberneticos","tag-carga","tag-como-hackear","tag-desapercibido","tag-dll","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-lateral","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-pasar","tag-quasar","tag-rat","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1012084","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1012084"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1012084\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1012085"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1012084"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1012084"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1012084"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}