Los investigadores de ciberseguridad han revelado una nueva campa\u00f1a de malware que ofrece artefactos de Hijack Loader firmados con certificados de firma de c\u00f3digo leg\u00edtimos.<\/p>\n
La empresa francesa de ciberseguridad HarfangLab, que detect\u00f3 la actividad a principios de mes, dicho<\/a> Las cadenas de ataque tienen como objetivo desplegar un ladr\u00f3n de informaci\u00f3n conocido como Lumma.<\/p>\n Hijack Loader, tambi\u00e9n conocido como DOILoader, IDAT Loader y SHADOWLADDER, sali\u00f3 a la luz por primera vez en septiembre de 2023. Las cadenas de ataques que involucran al cargador de malware generalmente implican enga\u00f1ar a los usuarios para que descarguen un binario con trampa explosiva bajo la apariencia de software o pel\u00edculas pirateadas.<\/p>\n Se ha descubierto que variaciones recientes de estas campa\u00f1as dirigen a los usuarios a p\u00e1ginas CAPTCHA falsas que instan a los visitantes del sitio a demostrar que son humanos copiando y ejecutando un comando PowerShell codificado que coloca la carga maliciosa en forma de un archivo ZIP.<\/p>\n HarfangLab dijo que observ\u00f3 tres versiones diferentes del script de PowerShell a partir de mediados de septiembre de 2024:<\/p>\n El archivo ZIP, por su parte, incluye un ejecutable genuino que es susceptible a la carga lateral de DLL y la DLL maliciosa (es decir, Hijack Loader) que debe cargarse en su lugar.<\/p>\n “El prop\u00f3sito de la DLL HijackLoader descargada es descifrar y ejecutar un archivo cifrado que se proporciona en el paquete”, dijo HarfangLab. “Este archivo oculta la etapa final de HijackLoader, cuyo objetivo es descargar y ejecutar un implante ladr\u00f3n”.<\/p>\n Se dice que el mecanismo de entrega ha cambiado de la carga lateral de DLL al uso de varios binarios firmados<\/a> a principios de octubre de 2024 en un intento de evadir la detecci\u00f3n por parte del software de seguridad.<\/p>\n Actualmente no est\u00e1 claro si todos los certificados de firma de c\u00f3digo fueron robados o generados intencionalmente por los propios actores de la amenaza, aunque la empresa de ciberseguridad evalu\u00f3 con confianza baja a media que podr\u00eda ser lo \u00faltimo. Desde entonces, los certificados han sido revocados.<\/p>\n “Para varias autoridades emisoras de certificados, notamos que la adquisici\u00f3n y activaci\u00f3n de un certificado de firma de c\u00f3digo es en su mayor parte automatizada y s\u00f3lo requiere un n\u00famero de registro de empresa v\u00e1lido, as\u00ed como una persona de contacto”, dijo. “Esta investigaci\u00f3n subraya que el malware se puede firmar y destaca que la firma del c\u00f3digo por s\u00ed sola no puede servir como indicador b\u00e1sico de confiabilidad”.<\/p>\n El desarrollo se produce cuando SonicWall Capture Labs advirti\u00f3 sobre un aumento en los ataques cibern\u00e9ticos que infectan m\u00e1quinas con Windows con un malware denominado CoreWarrior.<\/p>\n “Este es un troyano persistente que intenta propagarse r\u00e1pidamente creando docenas de copias de s\u00ed mismo y llegando a m\u00faltiples direcciones IP, abriendo m\u00faltiples sockets para acceso por puerta trasera y conectando elementos de la interfaz de usuario de Windows para su monitoreo”, dice. dicho<\/a>.<\/p>\n Tambi\u00e9n se han observado campa\u00f1as de phishing que entregan un malware de carga y ladr\u00f3n de productos conocido como XWorm mediante un archivo de script de Windows (WSF) que, a su vez, descarga y ejecuta un script de PowerShell alojado en un archivo pegado.[.]ee.<\/p>\n Posteriormente, el script de PowerShell inicia un script de Visual Basic, que act\u00faa como un conducto para ejecutar una serie de scripts por lotes y de PowerShell para cargar una DLL maliciosa que es responsable de inyectar XWorm en un proceso leg\u00edtimo (“RegSvcs.exe”).<\/p>\n La \u00faltima versi\u00f3n de XWorm (versi\u00f3n 5.6) incluye la capacidad de informar el tiempo de respuesta, recopilar capturas de pantalla, leer y modificar el archivo host de la v\u00edctima, realizar un ataque de denegaci\u00f3n de servicio (DoS) contra un objetivo y eliminar complementos almacenados, lo que indica una intentar evitar dejar un rastro forense.<\/p>\n “XWorm es una herramienta multifac\u00e9tica que puede proporcionar una amplia gama de funciones al atacante”, dijo el investigador de seguridad de Netskope Threat Labs, Jan Michael Alcantara. dicho<\/a>.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Investigadores-descubren-malware-Hijack-Loader-utilizando-certificados-de-firma-de.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/div>\n<\/a><\/div>\n