{"id":1474082,"date":"2024-12-06T10:24:46","date_gmt":"2024-12-06T10:24:46","guid":{"rendered":"https:\/\/teknomers.com\/es\/more_eggs-maas-amplia-sus-operaciones-con-revc2-backdoor-y-venom-loader\/"},"modified":"2024-12-06T10:24:51","modified_gmt":"2024-12-06T10:24:51","slug":"more_eggs-maas-amplia-sus-operaciones-con-revc2-backdoor-y-venom-loader","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/more_eggs-maas-amplia-sus-operaciones-con-revc2-backdoor-y-venom-loader\/","title":{"rendered":"More_eggs MaaS ampl\u00eda sus operaciones con RevC2 Backdoor y Venom Loader"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>06 de diciembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware\/Cibercrimen<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los actores de amenazas detr\u00e1s del malware More_eggs se han vinculado a dos nuevas familias de malware, lo que indica una expansi\u00f3n de su operaci\u00f3n de malware como servicio (MaaS).<\/p>\n

Esto incluye una novedosa puerta trasera para robar informaci\u00f3n llamada RevC2 y un cargador con nombre en c\u00f3digo Venom Loader, los cuales se implementan utilizando VenomLNK, una herramienta b\u00e1sica que sirve como vector de acceso inicial para el despliegue de cargas \u00fatiles de seguimiento.<\/p>\n

“RevC2 utiliza WebSockets para comunicarse con su servidor de comando y control (C2). El malware es capaz de robar cookies y contrase\u00f1as, proxy del tr\u00e1fico de red y permite la ejecuci\u00f3n remota de c\u00f3digo (RCE)”, dijo Muhammed Irfan VA, investigador de Zscaler ThreatLabz. dicho<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Venom Loader es un nuevo cargador de malware personalizado para cada v\u00edctima, utilizando el nombre de la computadora de la v\u00edctima para codificar la carga \u00fatil”.<\/p>\n

Ambas familias de malware se distribuyeron como parte de campa\u00f1as observadas por la empresa de ciberseguridad entre agosto y octubre de 2024. El actor de amenazas detr\u00e1s de las ofertas de delitos electr\u00f3nicos se rastrea como Venom Spider (tambi\u00e9n conocido como Golden Chickens).<\/p>\n

Actualmente se desconoce el mecanismo de distribuci\u00f3n exacto, pero el punto de partida de una de las campa\u00f1as es VenomLNK, que, adem\u00e1s de mostrar una imagen se\u00f1uelo PNG, ejecuta RevC2. La puerta trasera est\u00e1 equipada para robar contrase\u00f1as y cookies de los navegadores Chromium, ejecutar comandos de shell, tomar capturas de pantalla, tr\u00e1fico proxy usando SOCKS5 y ejecutar comandos como un usuario diferente.<\/p>\n

\"Puerta<\/a><\/div>\n

La segunda campa\u00f1a tambi\u00e9n comienza con VenomLNK para entregar una imagen de se\u00f1uelo, mientras ejecuta sigilosamente Venom Loader. El cargador es responsable de lanzar More_eggs lite, una variante liviana de la puerta trasera de JavaScript que solo proporciona capacidades RCE.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Los nuevos hallazgos son una se\u00f1al de que los autores de malware contin\u00faan actualizando y perfeccionando su conjunto de herramientas personalizadas con nuevo malware a pesar de que el a\u00f1o pasado se descubri\u00f3 que dos personas de Canad\u00e1 y Rumania ejecutaban la plataforma MaaS.<\/p>\n

La divulgaci\u00f3n se produce cuando ANY.RUN detall\u00f3 un malware de carga sin archivos previamente no documentado denominado PSLoramyra, que se ha utilizado para entregar el malware de c\u00f3digo abierto Quasar RAT.<\/p>\n

“Este malware avanzado aprovecha los scripts de PowerShell, VBS y BAT para inyectar cargas \u00fatiles maliciosas en un sistema, ejecutarlas directamente en la memoria y establecer un acceso persistente”, dice. dicho<\/a>.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n