Se detect\u00f3 una nueva campa\u00f1a maliciosa que se aprovecha de los registros de eventos de Windows para ocultar fragmentos de shellcode por primera vez en la naturaleza.<\/p>\n
“Permite que el troyano de \u00faltima etapa ‘sin archivos’ se oculte a simple vista en el sistema de archivos”, dijo el investigador de Kaspersky Denis Legezo. dicho<\/a> en un art\u00edculo t\u00e9cnico publicado esta semana.<\/p>\n Se cree que el proceso de infecci\u00f3n sigilosa, no atribuido a un actor conocido, comenz\u00f3 en septiembre de 2021 cuando se atrajo a los objetivos previstos para que descargaran archivos .RAR comprimidos que conten\u00edan Cobalt Strike y Descanso silencioso<\/a>.<\/p>\n Los m\u00f3dulos de software de simulaci\u00f3n del adversario se utilizan luego como una plataforma de lanzamiento para inyectar c\u00f3digo en los procesos del sistema de Windows o en las aplicaciones confiables.<\/p>\n Tambi\u00e9n es notable el uso de envoltorios antidetecci\u00f3n como parte del conjunto de herramientas, lo que sugiere un intento por parte de los operadores de volar por debajo del radar.<\/p>\n Uno de los m\u00e9todos clave es mantener el shellcode encriptado que contiene el malware de pr\u00f3xima etapa como piezas de 8 KB en los registros de eventos, una t\u00e9cnica nunca antes vista en los ataques del mundo real, que luego se combina y ejecuta.<\/p>\n La carga \u00fatil final es un conjunto de troyanos que emplean dos mecanismos de comunicaci\u00f3n diferentes: HTTP con cifrado RC4 y sin cifrar con tuber\u00edas con nombre<\/a> \u2013 que le permiten ejecutar comandos arbitrarios, descargar archivos desde una URL, escalar privilegios y tomar capturas de pantalla.<\/p>\n Otro indicador de las t\u00e1cticas de evasi\u00f3n del actor de amenazas es el uso de la informaci\u00f3n recopilada del reconocimiento inicial para desarrollar etapas sucesivas de la cadena de ataque, incluido el uso de un servidor remoto que imita el software leg\u00edtimo utilizado por la v\u00edctima.<\/p>\n “El actor detr\u00e1s de esta campa\u00f1a es bastante capaz”, dijo Legezo. “El c\u00f3digo es bastante \u00fanico, sin similitudes con el malware conocido”.<\/p>\n La divulgaci\u00f3n se produce cuando los investigadores de Sysdig demostrado<\/a> una forma de comprometer los contenedores de solo lectura con malware sin archivos que se ejecuta en la memoria aprovechando una falla cr\u00edtica en los servidores Redis.<\/p>\n <\/p>\n<\/div>\n![\"Registro](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1651896660_769_Este-nuevo-malware-sin-archivos-oculta-Shellcode-en-los-registros.jpg\" "\\"Registro")
<\/div>\n![\"Registro](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1651896660_391_Este-nuevo-malware-sin-archivos-oculta-Shellcode-en-los-registros.jpg\" "\\"Registro")
<\/div>\n