{"id":1490165,"date":"2024-12-16T23:39:11","date_gmt":"2024-12-16T23:39:11","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-malware-glutton-explota-marcos-php-populares-como-laravel-y-thinkphp\/"},"modified":"2024-12-16T23:39:17","modified_gmt":"2024-12-16T23:39:17","slug":"el-nuevo-malware-glutton-explota-marcos-php-populares-como-laravel-y-thinkphp","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-malware-glutton-explota-marcos-php-populares-como-laravel-y-thinkphp\/","title":{"rendered":"El nuevo malware Glutton explota marcos PHP populares como Laravel y ThinkPHP"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/El-nuevo-malware-Glutton-explota-marcos-PHP-populares-como-Laravel.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Investigadores de ciberseguridad han descubierto una nueva puerta trasera basada en PHP llamada <strong>Glot\u00f3n<\/strong> que se ha utilizado en ataques cibern\u00e9ticos dirigidos a China, Estados Unidos, Camboya, Pakist\u00e1n y Sud\u00e1frica.<\/p>\n<p>QiAnXin XLab, que descubri\u00f3 la actividad maliciosa a finales de abril de 2024, atribuy\u00f3 el malware previamente desconocido con moderada confianza al prol\u00edfico grupo de estado-naci\u00f3n chino rastreado Winnti (tambi\u00e9n conocido como APT41).<\/p>\n<p>&#8220;Curiosamente, nuestra investigaci\u00f3n revel\u00f3 que los creadores de Glutton apuntaron deliberadamente a sistemas dentro del mercado del cibercrimen&#8221;, dijo la empresa. <a rel=\"noopener nofollow\" href=\"https:\/\/blog.xlab.qianxin.com\/glutton_stealthily_targets_mainstream_php_frameworks-en\/\" target=\"_blank\">dicho<\/a>. &#8220;Con las operaciones de envenenamiento, pretend\u00edan volver en su contra las herramientas de los ciberdelincuentes: un escenario cl\u00e1sico de &#8216;no hay honor entre los ladrones'&#8221;.<\/p>\n<p>Glutton est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n confidencial del sistema, eliminar un componente de puerta trasera ELF y realizar inyecci\u00f3n de c\u00f3digo en marcos PHP populares como Baota (BT), ThinkPHP, Yii y Laravel. El malware ELF tambi\u00e9n comparte una &#8220;similitud casi completa&#8221; con una conocida herramienta Winnti conocida como PWNLNX.<\/p>\n<p>A pesar de los v\u00ednculos con Winnti, XLab dijo que no puede vincular definitivamente la puerta trasera con el adversario debido a la falta de t\u00e9cnicas de sigilo t\u00edpicamente asociadas con el grupo. La empresa de ciberseguridad describi\u00f3 las deficiencias como &#8220;inusualmente deficientes&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Esto incluye la falta de comunicaciones cifradas de comando y control (C2), el uso de HTTP (en lugar de HTTPS) para descargar las cargas \u00fatiles y el hecho de que las muestras est\u00e1n libres de cualquier ofuscaci\u00f3n.<\/p>\n<p>En esencia, Glutton es un marco de malware modular capaz de infectar archivos PHP en dispositivos de destino, as\u00ed como instalar puertas traseras. Se cree que el acceso inicial se logra mediante la explotaci\u00f3n de fallas de d\u00eda cero y d\u00eda N y ataques de fuerza bruta.<\/p>\n<p>Otro enfoque poco convencional implica anunciar en foros de ciberdelincuencia hosts empresariales comprometidos que contienen l0ader_shell, una puerta trasera inyectada en archivos PHP, que permite a los operadores organizar ataques contra otros ciberdelincuentes.<\/p>\n<p>El m\u00f3dulo principal que permite el ataque es &#8220;task_loader&#8221;, que se utiliza para evaluar el entorno de ejecuci\u00f3n y recuperar componentes adicionales, incluido &#8220;init_task&#8221;, que es responsable de descargar una puerta trasera basada en ELF que se hace pasar por el <a rel=\"noopener nofollow\" href=\"https:\/\/www.php.net\/manual\/en\/install.fpm.php\" target=\"_blank\">Administrador de procesos FastCGI<\/a> (&#8220;\/lib\/php-fpm&#8221;), infectando archivos PHP con c\u00f3digo malicioso para una mayor ejecuci\u00f3n de la carga \u00fatil, y recopilando informaci\u00f3n confidencial y modificando archivos del sistema.<\/p>\n<p>La cadena de ataque tambi\u00e9n incluye un m\u00f3dulo llamado &#8220;client_loader&#8221;, una versi\u00f3n refactorizada de &#8220;init_task&#8221;, que utiliza una infraestructura de red actualizada e incorpora la capacidad de descargar y ejecutar un cliente con puerta trasera. Modifica archivos del sistema como &#8220;\/etc\/init.d\/network&#8221; para establecer la persistencia.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1734392350_673_El-nuevo-malware-Glutton-explota-marcos-PHP-populares-como-Laravel.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1734392350_673_El-nuevo-malware-Glutton-explota-marcos-PHP-populares-como-Laravel.png\" alt=\"\" border=\"0\" data-original-height=\"1138\" data-original-width=\"1953\"\/><\/a><\/div>\n<p>La puerta trasera PHP es una puerta trasera con todas las funciones que admite 22 comandos \u00fanicos que le permiten cambiar conexiones C2 entre TCP y UDP, iniciar un shell, descargar\/cargar archivos, realizar operaciones de archivos y directorios y ejecutar c\u00f3digo PHP arbitrario. Adem\u00e1s, el marco hace posible buscar y ejecutar m\u00e1s cargas \u00fatiles de PHP sondeando peri\u00f3dicamente el servidor C2.<\/p>\n<p>&#8220;Estas cargas \u00fatiles son altamente modulares, capaces de funcionar de forma independiente o ejecutarse secuencialmente a trav\u00e9s de task_loader para formar un marco de ataque integral&#8221;, dijo XLab. &#8220;Toda la ejecuci\u00f3n del c\u00f3digo se produce dentro de procesos PHP o PHP-FPM (FastCGI), lo que garantiza que no se dejen atr\u00e1s cargas \u00fatiles de archivos, logrando as\u00ed una huella sigilosa&#8221;.<\/p>\n<p>Otro aspecto notable es el uso de la herramienta HackBrowserData en sistemas utilizados por operadores de delitos cibern\u00e9ticos para robar informaci\u00f3n confidencial con el objetivo probable de informar futuras campa\u00f1as de phishing o ingenier\u00eda social.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/INTERPOL-detiene-a-5500-personas-en-campana-mundial-contra-la.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Adem\u00e1s de atacar a las tradicionales v\u00edctimas de &#8216;sombrero blanco&#8217; a trav\u00e9s del delito cibern\u00e9tico, Glutton demuestra un enfoque estrat\u00e9gico en la explotaci\u00f3n de los recursos de los operadores de ciberdelito&#8221;, dijo XLab. &#8220;Esto crea una cadena de ataques recursivos, aprovechando las propias actividades de los atacantes contra ellos&#8221;.<\/p>\n<p>La divulgaci\u00f3n se produce semanas despu\u00e9s de que XLab detallara una versi\u00f3n actualizada del malware APT41 llamado M\u00e9lof\u00e9e que agrega mecanismos de persistencia mejorados e &#8220;incorpora un controlador de kernel cifrado RC4 para enmascarar rastros de archivos, procesos y conexiones de red&#8221;.<\/p>\n<p>Una vez instalada, la puerta trasera de Linux est\u00e1 equipada para comunicarse con un servidor C2 para recibir y ejecutar varios comandos, incluida la recopilaci\u00f3n de informaci\u00f3n de dispositivos y procesos, el inicio del shell, la gesti\u00f3n de procesos, la realizaci\u00f3n de operaciones de archivos y directorios y la desinstalaci\u00f3n.<\/p>\n<p>&#8220;M\u00e9lof\u00e9e ofrece una funcionalidad sencilla con capacidades de sigilo altamente efectivas&#8221;, <a rel=\"noopener nofollow\" href=\"https:\/\/blog.xlab.qianxin.com\/analysis_of_new_melofee_variant_en\/\" target=\"_blank\">dicho<\/a>. &#8220;Las muestras de esta familia de malware son raras, lo que sugiere que los atacantes pueden limitar su uso a objetivos de alto valor&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/12\/new-glutton-malware-exploits-popular.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de ciberseguridad han descubierto una nueva puerta trasera basada en PHP llamada Glot\u00f3n que se ha utilizado<\/p>\n","protected":false},"author":1,"featured_media":1490166,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,440,4664,6614,268137,268138,201033,4669,27748,4654,201031,4659,4653,4655,480,41109,18676,246983,4665,246984,201032,268139,246982,4660],"class_list":["post-1490165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como","tag-como-hackear","tag-explota","tag-glutton","tag-laravel","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-marcos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-php","tag-populares","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-thinkphp","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1490165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1490165"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1490165\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1490166"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1490165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1490165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1490165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}