{"id":1336034,"date":"2024-08-27T17:15:15","date_gmt":"2024-08-27T17:15:15","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-version-para-macos-del-backdoor-hz-rat-ataca-a-los-usuarios-de-la-aplicacion-de-mensajeria-china\/"},"modified":"2024-08-27T17:15:19","modified_gmt":"2024-08-27T17:15:19","slug":"la-version-para-macos-del-backdoor-hz-rat-ataca-a-los-usuarios-de-la-aplicacion-de-mensajeria-china","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-version-para-macos-del-backdoor-hz-rat-ataca-a-los-usuarios-de-la-aplicacion-de-mensajeria-china\/","title":{"rendered":"La versi\u00f3n para macOS del backdoor HZ RAT ataca a los usuarios de la aplicaci\u00f3n de mensajer\u00eda china"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>27 de agosto de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Espionaje cibern\u00e9tico \/ Malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los usuarios de aplicaciones de mensajer\u00eda instant\u00e1nea chinas como DingTalk y WeChat son el objetivo de una versi\u00f3n para macOS de Apple de una puerta trasera llamada RATA HZ<\/strong>.<\/p>\n

Los artefactos “replican casi exactamente la funcionalidad de la versi\u00f3n de Windows del backdoor y difieren solo en la carga \u00fatil, que se recibe en forma de scripts de shell desde el servidor de los atacantes”, dijo el investigador de Kaspersky, Sergey Puzan. dicho<\/a>.<\/p>\n

HZ RAT fue documentado por primera vez<\/a> por la empresa alemana de ciberseguridad DCSO en noviembre de 2022, y el malware se distribuy\u00f3 a trav\u00e9s de archivos zip autoextra\u00edbles o documentos RTF maliciosos presuntamente creados con el arma Royal Road RTF.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Las cadenas de ataque que involucran documentos RTF est\u00e1n dise\u00f1adas para implementar la versi\u00f3n de Windows del malware que se ejecuta en el host comprometido explotando una falla de Microsoft Office de hace a\u00f1os en el Editor de ecuaciones (CVE-2017-11882).<\/p>\n

El segundo m\u00e9todo de distribuci\u00f3n, por otro lado, se hace pasar por un instalador de software leg\u00edtimo como OpenVPN, PuTTYgen o EasyConnect, que adem\u00e1s de instalar realmente el programa se\u00f1uelo, tambi\u00e9n ejecuta un Visual Basic Script (VBS) responsable de iniciar el RAT.<\/p>\n

Las capacidades de HZ RAT son bastante simples, ya que se conecta a un servidor de comando y control (C2) para recibir m\u00e1s instrucciones. Esto incluye ejecutar comandos y scripts de PowerShell, escribir archivos arbitrarios en el sistema, cargar archivos al servidor y enviar informaci\u00f3n de latidos.<\/p>\n

Dada la funcionalidad limitada de la herramienta, se sospecha que el malware se utiliza principalmente para recopilar credenciales y realizar actividades de reconocimiento del sistema.<\/p>\n

La evidencia muestra que las primeras iteraciones del malware se detectaron en la red ya en junio de 2020. Se cree que la campa\u00f1a en s\u00ed, seg\u00fan DCSO, est\u00e1 activa desde al menos octubre de 2020.<\/p>\n

\"Usuarios<\/a><\/div>\n

La \u00faltima muestra descubierta por Kaspersky, subida a VirusTotal en julio de 2023, se hace pasar por OpenVPN Connect (“OpenVPNConnect.pkg”) que, una vez iniciado, establece contacto con un servidor C2 especificado en la puerta trasera para ejecutar cuatro comandos b\u00e1sicos similares a los de su hom\u00f3logo de Windows:<\/p>\n