{"id":1302353,"date":"2024-08-02T22:45:21","date_gmt":"2024-08-02T22:45:21","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-backdoor-de-windows-bitsloth-explota-bits-para-una-comunicacion-sigilosa\/"},"modified":"2024-08-02T22:45:25","modified_gmt":"2024-08-02T22:45:25","slug":"el-nuevo-backdoor-de-windows-bitsloth-explota-bits-para-una-comunicacion-sigilosa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-backdoor-de-windows-bitsloth-explota-bits-para-una-comunicacion-sigilosa\/","title":{"rendered":"El nuevo backdoor de Windows BITSLOTH explota BITS para una comunicaci\u00f3n sigilosa"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ataque cibern\u00e9tico \/ Seguridad de Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-nuevo-backdoor-de-Windows-BITSLOTH-explota-BITS-para-una.png\" style=\"display: block; text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto una puerta trasera de Windows no documentada previamente que aprovecha una funci\u00f3n integrada llamada Servicio de transferencia inteligente en segundo plano (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/bits\/background-intelligent-transfer-service-portal\" target=\"_blank\">pedacitos<\/a>) como mecanismo de comando y control (C2).<\/p>\n<p>La cepa de malware recientemente identificada ha recibido el nombre en c\u00f3digo <strong>PEREZOSO<\/strong> por Elastic Security Labs, que hizo el descubrimiento el 25 de junio de 2024, en relaci\u00f3n con un ciberataque dirigido contra un Ministerio de Relaciones Exteriores no especificado de un gobierno sudamericano. El grupo de actividad se est\u00e1 rastreando bajo el nombre REF8747.<\/p>\n<p>&#8220;La versi\u00f3n m\u00e1s actual de la puerta trasera en el momento de esta publicaci\u00f3n tiene 35 funciones de controlador, incluidas capacidades de registro de teclas y captura de pantalla&#8221;, dijeron los investigadores de seguridad Seth Goodwin y Daniel Stepanic. <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/bits-and-bytes-analyzing-bitsloth\" target=\"_blank\">dicho<\/a>&#8220;Adem\u00e1s, BITSLOTH contiene muchas funciones diferentes para el descubrimiento, la enumeraci\u00f3n y la ejecuci\u00f3n de la l\u00ednea de comandos&#8221;.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-anuncios-de-Facebook-conducen-a-sitios-web-falsos-que.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Se estima que los actores de amenazas est\u00e1n utilizando la herramienta (en desarrollo desde diciembre de 2021) para recopilar datos. Actualmente no est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s de esto, aunque un an\u00e1lisis del c\u00f3digo fuente ha descubierto funciones de registro y cadenas que sugieren que los autores podr\u00edan ser hablantes de chino.<\/p>\n<p>Otro v\u00ednculo potencial con China proviene del uso de una herramienta de c\u00f3digo abierto llamada <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/T4y1oR\/RingQ\" target=\"_blank\">Anillo Q<\/a>RingQ se utiliza para cifrar el malware y evitar su detecci\u00f3n por parte del software de seguridad, que luego se descifra y se ejecuta directamente en la memoria.<\/p>\n<p>En junio de 2024, el Centro de Inteligencia de Seguridad de AhnLab (ASEC) revel\u00f3 que se est\u00e1n explotando servidores web vulnerables para lanzar shells web, que luego se utilizan para entregar cargas \u00fatiles adicionales, incluido un minero de criptomonedas a trav\u00e9s de RingQ. Los ataques se atribuyeron a un actor de amenazas de habla china.<\/p>\n<p>El ataque tambi\u00e9n se destaca por el uso de STOWAWAY para redireccionar el tr\u00e1fico C2 cifrado a trav\u00e9s de HTTP y una utilidad de reenv\u00edo de puertos llamada iox, la \u00faltima de las cuales ha sido aprovechada previamente por un grupo de espionaje cibern\u00e9tico chino llamado Bronze Starlight (tambi\u00e9n conocido como Emperor Dragonfly) en ataques de ransomware Cheerscrypt.<\/p>\n<p>BITSLOTH, que toma la forma de un archivo DLL (&#8220;flengine.dll&#8221;), se carga mediante t\u00e9cnicas de carga lateral de DLL utilizando un ejecutable leg\u00edtimo asociado con Image-Line conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/support.image-line.com\/action\/knowledgebase?ans=526\" target=\"_blank\">Estudio FL<\/a> (&#8220;fl.exe&#8221;).<\/p>\n<p>&#8220;En la \u00faltima versi\u00f3n, el desarrollador agreg\u00f3 un nuevo componente de programaci\u00f3n para controlar los momentos espec\u00edficos en los que BITSLOTH debe operar en el entorno de la v\u00edctima&#8221;, dijeron los investigadores. &#8220;Esta es una caracter\u00edstica que hemos observado en otras familias de malware modernas como EAGERBEE&#8221;.<\/p>\n<p>BITSLOTH es una puerta trasera con todas las funciones capaz de ejecutar comandos, cargar y descargar archivos, realizar enumeraciones y descubrimientos, y recopilar datos confidenciales a trav\u00e9s del registro de teclas y la captura de pantalla.<\/p>\n<p>Tambi\u00e9n puede configurar el modo de comunicaci\u00f3n en HTTP o HTTPS, eliminar o reconfigurar la persistencia, finalizar procesos arbitrarios, cerrar la sesi\u00f3n de los usuarios en la m\u00e1quina, reiniciar o apagar el sistema e incluso actualizarse o eliminarse a s\u00ed mismo del host. Un aspecto que define al malware es el uso de BITS para C2.<\/p>\n<p>&#8220;Este medio es atractivo para los adversarios porque muchas organizaciones a\u00fan tienen dificultades para monitorear el tr\u00e1fico de la red BITS y detectar trabajos BITS inusuales&#8221;, agregaron los investigadores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/new-windows-backdoor-bitsloth-exploits.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 de agosto de 2024\ue804Ravie LakshmananAtaque cibern\u00e9tico \/ Seguridad de Windows Los investigadores de ciberseguridad han descubierto una<\/p>\n","protected":false},"author":1,"featured_media":1302354,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,32555,90566,245878,4664,2838,6614,4662,4668,4667,239182,4654,239508,4658,4659,4653,480,18,4666,4665,90871,158,239484,20385],"class_list":["post-1302353","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-backdoor","tag-bits","tag-bitsloth","tag-como-hackear","tag-comunicacion","tag-explota","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-nuevo","tag-para","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sigilosa","tag-una","tag-vulnerabilidad-del-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1302353","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1302353"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1302353\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1302354"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1302353"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1302353"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1302353"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}