{"id":1321278,"date":"2024-08-16T21:17:19","date_gmt":"2024-08-16T21:17:19","guid":{"rendered":"https:\/\/teknomers.com\/es\/valleyrat-de-multiples-etapas-ataca-a-los-usuarios-chinos-con-tacticas-avanzadas\/"},"modified":"2024-08-16T21:17:25","modified_gmt":"2024-08-16T21:17:25","slug":"valleyrat-de-multiples-etapas-ataca-a-los-usuarios-chinos-con-tacticas-avanzadas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/valleyrat-de-multiples-etapas-ataca-a-los-usuarios-chinos-con-tacticas-avanzadas\/","title":{"rendered":"ValleyRAT de m\u00faltiples etapas ataca a los usuarios chinos con t\u00e1cticas avanzadas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ataque cibern\u00e9tico \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/ValleyRAT-de-multiples-etapas-ataca-a-los-usuarios-chinos-con.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los usuarios de habla china son el objetivo de una campa\u00f1a en curso que distribuye malware conocido como ValleyRAT.<\/p>\n<p>&#8220;ValleyRAT es un malware de m\u00faltiples etapas que utiliza diversas t\u00e9cnicas para monitorear y controlar a sus v\u00edctimas e implementar complementos arbitrarios para causar m\u00e1s da\u00f1os&#8221;, dijeron los investigadores de Fortinet FortiGuard Labs Eduardo Altares y Joie Salvio. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/valleyrat-campaign-targeting-chinese-speakers\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Otra caracter\u00edstica destacable de este malware es su uso intensivo de shellcode para ejecutar sus numerosos componentes directamente en la memoria, lo que reduce significativamente su huella de archivos en el sistema de la v\u00edctima&#8221;.<\/p>\n<p>Los detalles sobre la campa\u00f1a surgieron por primera vez en junio de 2024, cuando Zscaler ThreatLabz detall\u00f3 ataques que involucraban una versi\u00f3n actualizada del malware.<\/p>\n<p>Actualmente no se sabe exactamente c\u00f3mo se distribuye la \u00faltima versi\u00f3n de ValleyRAT, aunque las campa\u00f1as anteriores han aprovechado mensajes de correo electr\u00f3nico que conten\u00edan URL que apuntaban a ejecutables comprimidos.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-a-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Nuevas-fallas-en-los-altavoces-inteligentes-Sonos-permiten-a-los.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La secuencia de ataque es un proceso de varias etapas que comienza con un cargador de primera etapa que se hace pasar por aplicaciones leg\u00edtimas como Microsoft Office para hacerlas parecer inofensivas (por ejemplo, &#8220;\u5de5\u5546\u5e74\u62a5\u5927\u5e08.exe&#8221; o &#8220;\u8865\u5355\u5bf9\u63a5\u66f4\u65b0\u8bb0\u5f55txt.exe&#8221;). ).<\/p>\n<p>Al ejecutar el ejecutable, se descarta el documento se\u00f1uelo y se carga el shellcode para avanzar a la siguiente fase del ataque. El cargador tambi\u00e9n toma medidas para validar que no se est\u00e9 ejecutando en una m\u00e1quina virtual.<\/p>\n<p>El shellcode es responsable de iniciar un m\u00f3dulo de balizamiento que contacta a un servidor de comando y control (C2) para descargar dos componentes, RuntimeBroker y RemoteShellcode, adem\u00e1s de configurar la persistencia en el host y obtener privilegios de administrador explotando un binario leg\u00edtimo llamado fodhelper.exe y lograr una omisi\u00f3n de UAC.<\/p>\n<p>El segundo m\u00e9todo utilizado para la escalada de privilegios se refiere al abuso de los privilegios. <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.quickheal.com\/uac-bypass-using-cmstp\/\" target=\"_blank\">Interfaz COM CMSTPLUA<\/a>una t\u00e9cnica previamente adoptada por actores de amenazas conectados a la <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1548\/002\/\" target=\"_blank\">El ransomware Avaddon<\/a> y tambi\u00e9n se observ\u00f3 en campa\u00f1as recientes de Hijack Loader. <\/p>\n<p>En un intento adicional por asegurarse de que el malware se ejecute sin obst\u00e1culos en la m\u00e1quina, configura reglas de exclusi\u00f3n para Microsoft Defender Antivirus y procede a finalizar varios procesos relacionados con el antivirus en funci\u00f3n de los nombres de archivos ejecutables coincidentes.<\/p>\n<p>La tarea principal de RuntimeBroker es recuperar del servidor C2 un componente llamado Loader, que funciona de la misma manera que el cargador de primera etapa y ejecuta el m\u00f3dulo de balizamiento para repetir el proceso de infecci\u00f3n.<\/p>\n<p>La carga \u00fatil Loader tambi\u00e9n exhibe algunas caracter\u00edsticas distintivas, incluida la realizaci\u00f3n de comprobaciones para ver si se est\u00e1 ejecutando en un sandbox y el escaneo del Registro de Windows en busca de claves relacionadas con aplicaciones como Tencent WeChat y Alibaba DingTalk, lo que refuerza la hip\u00f3tesis de que el malware se dirige exclusivamente a los sistemas chinos.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1723190360_817_El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Por otro lado, RemoteShellcode est\u00e1 configurado para buscar el descargador ValleyRAT en el servidor C2, que posteriormente utiliza sockets UDP o TCP para conectarse al servidor y recibir la carga \u00fatil final.<\/p>\n<p>ValleyRAT, atribuido a un grupo de amenazas llamado Silver Fox, es una puerta trasera con todas las funciones capaz de controlar de forma remota las estaciones de trabajo comprometidas. Puede tomar capturas de pantalla, ejecutar archivos y cargar complementos adicionales en el sistema de la v\u00edctima.<\/p>\n<p>&#8220;Este malware involucra varios componentes cargados en diferentes etapas y utiliza principalmente shellcode para ejecutarlos directamente en la memoria, reduciendo significativamente su rastro de archivos en el sistema&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Una vez que el malware se afianza en el sistema, admite comandos capaces de monitorear las actividades de la v\u00edctima y entregar complementos arbitrarios para promover las intenciones de los actores de la amenaza&#8221;.<\/p>\n<p>El desarrollo se produce en medio de campa\u00f1as de malspam en curso que intentan explotar una antigua vulnerabilidad de Microsoft Office (CVE-2017-0199) para ejecutar c\u00f3digo malicioso y distribuir GuLoader, Remcos RAT y Sankeloader.<\/p>\n<p>&#8220;CVE-2017-0199 todav\u00eda tiene como objetivo permitir la ejecuci\u00f3n de c\u00f3digo remoto desde un archivo XLS&#8221;, dijo Symantec, propiedad de Broadcom. <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/new-malspam-campaigns-delivering-multiple-trojans\" target=\"_blank\">dicho<\/a>\u201cLas campa\u00f1as entregaban un archivo XLS malicioso con un enlace desde el cual se ejecutar\u00eda un archivo HTA o RTF remoto para descargar la carga \u00fatil final\u201d.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/multi-stage-valleyrat-targets-chinese.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 de agosto de 2024\ue804Ravie LakshmananAtaque cibern\u00e9tico \/ Malware Los usuarios de habla china son el objetivo de<\/p>\n","protected":false},"author":1,"featured_media":1321279,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4397,4661,54395,4289,4664,99,47066,4667,36,239182,7608,4654,239508,4658,4659,4653,246983,4665,246984,11334,7528,206240,246982,239484],"class_list":["post-1321278","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataca","tag-ataques-ciberneticos","tag-avanzadas","tag-chinos","tag-como-hackear","tag-con","tag-etapas","tag-las-noticias-de-los-hackers","tag-los","tag-malware-ransomware","tag-multiples","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-tacticas","tag-usuarios","tag-valleyrat","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1321278","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1321278"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1321278\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1321279"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1321278"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1321278"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1321278"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}