{"id":1152622,"date":"2024-01-25T20:25:23","date_gmt":"2024-01-25T20:25:23","guid":{"rendered":"https:\/\/teknomers.com\/es\/lodeinfo-fileless-malware-evoluciona-con-antianalisis-y-trucos-de-codigo-remoto\/"},"modified":"2024-01-25T20:25:28","modified_gmt":"2024-01-25T20:25:28","slug":"lodeinfo-fileless-malware-evoluciona-con-antianalisis-y-trucos-de-codigo-remoto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lodeinfo-fileless-malware-evoluciona-con-antianalisis-y-trucos-de-codigo-remoto\/","title":{"rendered":"LODEINFO Fileless Malware evoluciona con antian\u00e1lisis y trucos de c\u00f3digo remoto"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 de enero de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Malware sin archivos\/Seguridad de terminales<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/LODEINFO-Fileless-Malware-evoluciona-con-antianalisis-y-trucos-de-codigo.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Investigadores de ciberseguridad han descubierto una versi\u00f3n actualizada de una puerta trasera llamada <strong>LODEINFO<\/strong> que se distribuye mediante ataques de phishing.<\/p>\n<p>Los hallazgos provienen de la empresa japonesa ITOCHU Cyber \u200b\u200b&#038; Intelligence, que <a rel=\"nofollow noopener\" href=\"https:\/\/blog-en.itochuci.co.jp\/entry\/2024\/01\/24\/134100\" target=\"_blank\">dicho<\/a> el malware &#8220;ha sido actualizado con nuevas funciones, as\u00ed como cambios en las t\u00e9cnicas anti-an\u00e1lisis (evitaci\u00f3n de an\u00e1lisis)&#8221;.<\/p>\n<p>LODEINFO (versiones 0.6.6 y 0.6.7) fue documentado por primera vez por Kaspersky en noviembre de 2022, detallando sus capacidades para ejecutar shellcode arbitrario, tomar capturas de pantalla y exfiltrar archivos a un servidor controlado por un actor.<\/p>\n<p>Un mes despu\u00e9s, ESET revel\u00f3 ataques dirigidos a instituciones pol\u00edticas japonesas que llevaron al despliegue de LODEINFO.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Los-ataques-DDoS-a-la-industria-de-servicios-medioambientales-aumentaran.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La puerta trasera es obra de un actor de estado-naci\u00f3n chino conocido como Stone Panda (tambi\u00e9n conocido como APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace y Potassium), que tiene un historial de orquestar ataques dirigidos a Jap\u00f3n desde 2021.<\/p>\n<p>Las cadenas de ataques comienzan con correos electr\u00f3nicos de phishing que contienen documentos maliciosos de Microsoft Word que, cuando se abren, ejecutan macros VBA para iniciar el c\u00f3digo shell de descarga capaz de, en \u00faltima instancia, ejecutar el implante LODEINFO.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706214321_619_LODEINFO-Fileless-Malware-evoluciona-con-antianalisis-y-trucos-de-codigo.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706214321_619_LODEINFO-Fileless-Malware-evoluciona-con-antianalisis-y-trucos-de-codigo.jpg\" alt=\"LODEINFO Malware sin archivos\" border=\"0\" data-original-height=\"413\" data-original-width=\"728\" title=\"LODEINFO Malware sin archivos\"\/><\/a><\/div>\n<p>Tambi\u00e9n se han observado rutas de infecci\u00f3n de LODEINFO en 2023 que utilizan m\u00e9todos de inyecci\u00f3n remota de plantillas para recuperar y ejecutar macros maliciosas alojadas en la infraestructura del adversario cada vez que la v\u00edctima abre un documento de Word atractivo que contiene la plantilla.<\/p>\n<p>Es m\u00e1s, se dice que se agregaron comprobaciones alrededor de junio de 2023 para verificar la configuraci\u00f3n de idioma de Microsoft Office y determinar si es japon\u00e9s, solo para eliminarlo un mes despu\u00e9s en ataques que aprovecharon la versi\u00f3n 0.7.1 de LODEINFO.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706214322_396_LODEINFO-Fileless-Malware-evoluciona-con-antianalisis-y-trucos-de-codigo.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706214322_396_LODEINFO-Fileless-Malware-evoluciona-con-antianalisis-y-trucos-de-codigo.jpg\" alt=\"LODEINFO Malware sin archivos\" border=\"0\" data-original-height=\"184\" data-original-width=\"728\" title=\"LODEINFO Malware sin archivos\"\/><\/a><\/div>\n<p>&#8220;Adem\u00e1s, el nombre del archivo del maldoc ha sido cambiado de japon\u00e9s a ingl\u00e9s&#8221;, se\u00f1al\u00f3 ITOCHU.  &#8220;A partir de esto, creemos que la versi\u00f3n 0.7.1 probablemente se utiliz\u00f3 para atacar entornos en idiomas distintos del japon\u00e9s&#8221;.<\/p>\n<p>Otro cambio notable en los ataques que entregan LODEINFO versi\u00f3n 0.7.1 es la introducci\u00f3n de una nueva etapa intermedia que implica que el descargador de shellcode obtenga un archivo que se hace pasar por un correo de privacidad mejorada (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Privacy-Enhanced_Mail\" target=\"_blank\">PEM<\/a>) desde un servidor C2, que, a su vez, carga la puerta trasera directamente en la memoria.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Nuevo-JinxLoader-dirigido-a-usuarios-con-malware-Formbook-y-XLoader.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El programa de descarga comparte similitudes con un conocido programa de descarga sin archivos denominado DOWNIISSA, basado en el mecanismo de autoparche para ocultar c\u00f3digo malicioso, el m\u00e9todo de codificaci\u00f3n para la informaci\u00f3n del servidor de comando y control (C2) y la estructura de los datos descifrados del archivo PEM falso.<\/p>\n<p>&#8220;LODEINFO backdoor shellcode es un malware sin archivos que permite a los atacantes acceder y operar de forma remota hosts infectados&#8221;, dijo la compa\u00f1\u00eda, con muestras encontradas en 2023 y 2024 que incorporan comandos adicionales.  La \u00faltima versi\u00f3n de LODEINFO es 0.7.3.<\/p>\n<p>&#8220;Como contramedida, dado que tanto el c\u00f3digo shell del descargador como el c\u00f3digo shell de la puerta trasera de LODEINFO son malware sin archivos, es esencial introducir un producto que pueda escanear y detectar malware en la memoria para poder detectarlo&#8221;, a\u00f1adi\u00f3.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/lodeinfo-fileless-malware-evolves-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 de enero de 2024\ue804Sala de redacci\u00f3nMalware sin archivos\/Seguridad de terminales Investigadores de ciberseguridad han descubierto una versi\u00f3n<\/p>\n","protected":false},"author":1,"featured_media":1152623,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,213127,4661,706,4664,99,48389,227360,4662,4668,201033,121734,4669,4654,201031,4659,4653,4655,51115,4666,4665,201032,18962,4660],"class_list":["post-1152622","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-antianalisis","tag-ataques-ciberneticos","tag-codigo","tag-como-hackear","tag-con","tag-evoluciona","tag-fileless","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-lodeinfo","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-remoto","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-trucos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1152622","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1152622"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1152622\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1152623"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1152622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1152622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1152622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}