Los funcionarios del gobierno tailand\u00e9s se han convertido en el objetivo de una nueva campa\u00f1a que aprovecha una t\u00e9cnica llamada Carga lateral de DLL<\/a> para entregar una puerta trasera previamente indocumentada denominada Yokai<\/strong>.<\/p>\n “El objetivo de los actores de la amenaza eran funcionarios de Tailandia debido a la naturaleza de los se\u00f1uelos”, dijo a The Hacker News Nikhil Hegde, ingeniero senior del equipo de Eficacia de Seguridad de Netskope. “La puerta trasera Yokai en s\u00ed no est\u00e1 limitada y puede usarse contra cualquier objetivo potencial”.<\/p>\n El punto de partida de la cadena de ataque<\/a> es un archivo RAR que contiene dos archivos de acceso directo de Windows nombrados en tailand\u00e9s que se traducen como “Departamento de Justicia de los Estados Unidos.pdf” y “El gobierno de los Estados Unidos solicita cooperaci\u00f3n internacional en asuntos penales.docx”.<\/p>\n Actualmente se desconoce el vector inicial exacto utilizado para entregar la carga \u00fatil, aunque Hegde especul\u00f3 que probablemente se tratar\u00eda de phishing debido a los se\u00f1uelos empleados y al hecho de que los archivos RAR se han utilizado como archivos adjuntos maliciosos en correos electr\u00f3nicos de phishing.<\/p>\n Al iniciar los archivos de acceso directo, se abre un documento se\u00f1uelo en PDF y Microsoft Word, respectivamente, y al mismo tiempo se coloca sigilosamente un ejecutable malicioso en segundo plano. Ambos archivos de se\u00f1uelos se relacionan con Woravit Mektrakarn<\/a>un ciudadano tailand\u00e9s buscado en Estados Unidos en relaci\u00f3n con la desaparici\u00f3n de un inmigrante mexicano. Mektrakarn fue acusado de asesinato en 2003 y se dice que huy\u00f3 a Tailandia.<\/p>\n El ejecutable, por su parte, est\u00e1 dise\u00f1ado para eliminar tres archivos m\u00e1s: un binario leg\u00edtimo asociado con la aplicaci\u00f3n iTop Data Recovery (“IdrInit.exe”), una DLL maliciosa (“ProductStatistics3.dll”) y un archivo de DATOS que contiene informaci\u00f3n. enviado por un servidor controlado por un atacante. En la siguiente etapa, se abusa de “IdrInit.exe” para cargar la DLL<\/a>lo que en \u00faltima instancia conduce al despliegue de la puerta trasera.<\/p>\n Yokai es responsable de configurar la persistencia en el host y conectarse al servidor de comando y control (C2) para recibir c\u00f3digos de comando que le permitan generar cmd.exe y ejecutar comandos de shell en el host.<\/p>\n El desarrollo se produce cuando Zscaler ThreatLabz revel\u00f3 que descubri\u00f3 una campa\u00f1a de malware que aprovecha ejecutables compilados por Node.js para Windows para distribuir mineros de criptomonedas y ladrones de informaci\u00f3n como XMRig, Lumma y Phemedrone Stealer. Las aplicaciones maliciosas recibieron el nombre en c\u00f3digo NodeLoader.<\/p>\n Los ataques emplean enlaces maliciosos incrustados en descripciones de videos de YouTube, que llevan a los usuarios a MediaFire o sitios web falsos que los instan a descargar un archivo ZIP disfrazado de hacks de videojuegos. El objetivo final de los ataques es extraer y ejecutar NodeLoader, que, a su vez, descarga un script de PowerShell responsable de lanzar el malware de etapa final.<\/p>\n “NodeLoader utiliza un m\u00f3dulo llamado sudo-prompt, una herramienta disponible p\u00fablicamente en GitHub y npm, para escalar privilegios”, Zscaler dicho<\/a>. “Los actores de amenazas emplean ingenier\u00eda social y t\u00e9cnicas anti-evasi\u00f3n para entregar NodeLoader sin ser detectado”.<\/p>\n Tambi\u00e9n sigue a un aumento en los ataques de phishing que distribuyen el Remcos RAT disponible comercialmente, en el que los actores de amenazas renuevan las cadenas de infecci\u00f3n empleando secuencias de comandos Visual Basic Script (VBS) y documentos Office Open XML como plataforma de lanzamiento para desencadenar el proceso de varias etapas.<\/p>\n En un conjunto de ataques, la ejecuci\u00f3n del archivo VBS conduce a un script de PowerShell altamente ofuscado que descarga cargas \u00fatiles provisionales, lo que finalmente resulta en la inyecci\u00f3n de Remcos RAT en RegAsm.exe, un ejecutable leg\u00edtimo de Microsoft .NET.<\/p>\n La otra variante implica el uso de un documento Office Open XML para cargar un archivo RTF que es susceptible a CVE-2017-11882, una conocida falla de ejecuci\u00f3n remota de c\u00f3digo en Microsoft Equation Editor, para recuperar un archivo VBS que posteriormente procede a buscar PowerShell para inyectar. Carga \u00fatil de Remcos en la memoria de RegAsm.exe.<\/p>\n Vale la pena se\u00f1alar que ambos m\u00e9todos evitan dejar archivos escritos en el disco y cargarlos en procesos v\u00e1lidos en un intento deliberado de evadir la detecci\u00f3n por parte de los productos de seguridad.<\/p>\n “A medida que este troyano de acceso remoto contin\u00faa atacando a los consumidores a trav\u00e9s de correos electr\u00f3nicos de phishing y archivos adjuntos maliciosos, la necesidad de medidas proactivas de ciberseguridad nunca ha sido m\u00e1s cr\u00edtica”, afirman los investigadores de McAfee Labs. dicho<\/a>.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Funcionarios-tailandeses-atacados-en-la-campana-de-puerta-trasera-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n