{"id":1240901,"date":"2024-06-17T09:01:52","date_gmt":"2024-06-17T09:01:52","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-explotan-sitios-web-legitimos-para-ofrecer-la-puerta-trasera-de-windows-badspace\/"},"modified":"2024-06-17T09:01:57","modified_gmt":"2024-06-17T09:01:57","slug":"los-piratas-informaticos-explotan-sitios-web-legitimos-para-ofrecer-la-puerta-trasera-de-windows-badspace","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-explotan-sitios-web-legitimos-para-ofrecer-la-puerta-trasera-de-windows-badspace\/","title":{"rendered":"Los piratas inform\u00e1ticos explotan sitios web leg\u00edtimos para ofrecer la puerta trasera de Windows BadSpace"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>17 de junio de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad web\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se est\u00e1n utilizando sitios web leg\u00edtimos pero comprometidos como conducto para ofrecer una puerta trasera de Windows denominada mal espacio<\/strong> bajo la apariencia de actualizaciones falsas del navegador.<\/p>\n

“El actor de la amenaza emplea una cadena de ataque de varias etapas que involucra un sitio web infectado, un servidor de comando y control (C2), en algunos casos una actualizaci\u00f3n falsa del navegador y un descargador de JScript para implementar una puerta trasera en el sistema de la v\u00edctima”, alem\u00e1n empresa de ciberseguridad G DATA dicho<\/a> en un informe.<\/p>\n

Los investigadores compartieron por primera vez los detalles del malware. kevross33<\/a> y Gi7w0rm<\/a> el mes pasado.<\/p>\n

Todo comienza con un sitio web comprometido, incluidos los creados en WordPress, para inyectar c\u00f3digo que incorpora l\u00f3gica para determinar si un usuario ha visitado el sitio antes. <\/p>\n

Si es la primera visita del usuario, el c\u00f3digo recopila informaci\u00f3n sobre el dispositivo, la direcci\u00f3n IP, el agente de usuario y la ubicaci\u00f3n, y la transmite a un dominio codificado mediante una solicitud HTTP GET.<\/p>\n

\"La<\/a><\/center><\/div>\n

Posteriormente, la respuesta del servidor superpone el contenido de la p\u00e1gina web con una ventana emergente falsa de actualizaci\u00f3n de Google Chrome para eliminar directamente el malware o un descargador de JavaScript que, a su vez, descarga y ejecuta BadSpace.<\/p>\n

Un an\u00e1lisis de los servidores C2 utilizados en la campa\u00f1a ha conexiones descubiertas<\/a> a un malware conocido llamado SocGholish (tambi\u00e9n conocido como FakeUpdates), un malware de descarga basado en JavaScript que se propaga a trav\u00e9s del mismo mecanismo.<\/p>\n

BadSpace, adem\u00e1s de emplear comprobaciones anti-sandbox y configurar la persistencia mediante tareas programadas, es capaz de recopilar informaci\u00f3n del sistema y procesar comandos que le permiten tomar capturas de pantalla, ejecutar instrucciones usando cmd.exe, leer y escribir archivos y eliminar archivos programados. tarea.<\/p>\n

La divulgaci\u00f3n se produce cuando tanto eSentire como Sucuri han advertido sobre diferentes campa\u00f1as que aprovechan falsas actualizaciones de navegador en sitios comprometidos para distribuir ladrones de informaci\u00f3n y troyanos de acceso remoto.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n