{"id":1330747,"date":"2024-08-23T16:29:42","date_gmt":"2024-08-23T16:29:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-dropper-peaklight-implementado-en-ataques-dirigidos-a-windows-con-descargas-de-peliculas-maliciosas\/"},"modified":"2024-08-23T16:29:46","modified_gmt":"2024-08-23T16:29:46","slug":"nuevo-dropper-peaklight-implementado-en-ataques-dirigidos-a-windows-con-descargas-de-peliculas-maliciosas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-dropper-peaklight-implementado-en-ataques-dirigidos-a-windows-con-descargas-de-peliculas-maliciosas\/","title":{"rendered":"Nuevo dropper PEAKLIGHT implementado en ataques dirigidos a Windows con descargas de pel\u00edculas maliciosas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 de agosto de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware\/Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han descubierto un cuentagotas nunca antes visto que sirve como conducto para lanzar malware de siguiente etapa con el objetivo final de infectar sistemas Windows con ladrones y cargadores de informaci\u00f3n.<\/p>\n

“Este cuentagotas de solo memoria descifra y ejecuta un descargador basado en PowerShell”, dijo Mandiant, propiedad de Google. dicho<\/a>“Este descargador basado en PowerShell se est\u00e1 rastreando como PEAKLIGHT”.<\/p>\n

Algunas de las cepas de malware distribuidas utilizando esta t\u00e9cnica son Lumma Stealer, Hijack Loader (tambi\u00e9n conocido como DOILoader, IDAT Loader o SHADOWLADDER) y CryptBot, todas las cuales se anuncian bajo el modelo de malware como servicio (SaaS).<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El punto de partida de la cadena de ataques es un archivo de acceso directo de Windows (LNK) que se descarga mediante t\u00e9cnicas de descarga autom\u00e1tica, por ejemplo, cuando los usuarios buscan una pel\u00edcula en los motores de b\u00fasqueda. Vale la pena se\u00f1alar que los archivos LNK se distribuyen dentro de archivos ZIP que se camuflan como pel\u00edculas pirateadas.<\/p>\n

El archivo LNK se conecta a una red de distribuci\u00f3n de contenido (CDN) que aloja un cuentagotas de JavaScript ofuscado que solo funciona con memoria. Posteriormente, el cuentagotas ejecuta el script de descarga de PowerShell PEAKLIGHT en el host, que luego se comunica con un servidor de comando y control (C2) para obtener cargas \u00fatiles adicionales.<\/p>\n

\"\"<\/a><\/div>\n

Mandiant dijo que identific\u00f3 diferentes variaciones de los archivos LNK, algunas de las cuales utilizan asteriscos.<\/p>\n

como comodines para iniciar el binario leg\u00edtimo mshta.exe para ejecutar discretamente c\u00f3digo malicioso (es decir, el cuentagotas) recuperado de un servidor remoto.<\/p>\n

De manera similar, se ha descubierto que los cuentagotas incorporan cargas \u00fatiles de PowerShell codificadas en hexadecimal y Base64 que finalmente se descomprimen para ejecutar PEAKLIGHT, que est\u00e1 dise\u00f1ado para entregar malware de siguiente etapa en un sistema comprometido mientras se descarga simult\u00e1neamente un tr\u00e1iler de pel\u00edcula leg\u00edtimo, probablemente como una artima\u00f1a.<\/p>\n

\"\"PEAKLIGHT<\/a><\/center><\/section>\n

Ciberseguridad<\/p>\n

“Si los archivos no existen, el descargador se comunicar\u00e1 con un sitio CDN y descargar\u00e1 el archivo alojado de forma remota y lo guardar\u00e1 en el disco”. La revelaci\u00f3n llega cuando Malwarebytes<\/a> detallado a<\/a> campa\u00f1a de publicidad maliciosa<\/p>\n

<\/p>\n

que emplea anuncios fraudulentos de B\u00fasqueda de Google para Slack, una plataforma de comunicaciones empresariales, para dirigir a los usuarios a sitios web falsos que albergan instaladores maliciosos que culminan en la implementaci\u00f3n de un troyano de acceso remoto llamado SectopRAT. \u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo<\/i><\/a> \uf099 y<\/a> LinkedIn<\/div>\n<\/div>\n