{"id":1491198,"date":"2024-12-17T15:10:38","date_gmt":"2024-12-17T15:10:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-utilizan-archivos-msc-de-microsoft-para-implementar-una-puerta-trasera-ofuscada-en-los-ataques-de-pakistan\/"},"modified":"2024-12-17T15:10:43","modified_gmt":"2024-12-17T15:10:43","slug":"los-piratas-informaticos-utilizan-archivos-msc-de-microsoft-para-implementar-una-puerta-trasera-ofuscada-en-los-ataques-de-pakistan","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-utilizan-archivos-msc-de-microsoft-para-implementar-una-puerta-trasera-ofuscada-en-los-ataques-de-pakistan\/","title":{"rendered":"Los piratas inform\u00e1ticos utilizan archivos MSC de Microsoft para implementar una puerta trasera ofuscada en los ataques de Pakist\u00e1n"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>17 de diciembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ataque cibern\u00e9tico\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado una nueva campa\u00f1a de phishing que emplea se\u00f1uelos con temas fiscales para entregar una carga \u00fatil sigilosa de puerta trasera como parte de ataques dirigidos a Pakist\u00e1n.<\/p>\n

La empresa de ciberseguridad Securonix, que est\u00e1 rastreando la actividad bajo el nombre FLUJO#CONSOLA<\/strong>dijo que probablemente comienza con un enlace o archivo adjunto de correo electr\u00f3nico de phishing, aunque dijo que no pudo obtener el correo electr\u00f3nico original utilizado para lanzar el ataque.<\/p>\n

“Uno de los aspectos m\u00e1s notables de la campa\u00f1a es c\u00f3mo los actores de amenazas aprovechan los archivos MSC (Microsoft Common Console Document) para implementar un cargador y un dropper de doble prop\u00f3sito para entregar m\u00e1s cargas \u00fatiles maliciosas”, afirman los investigadores de seguridad Den Iuzvyk y Tim Peck. dicho<\/a>.<\/p>\n

Vale la pena se\u00f1alar que Elastic Security Labs ha denominado en c\u00f3digo GrimResource el abuso de archivos de consola de administraci\u00f3n guardados (MSC) especialmente dise\u00f1ados para ejecutar c\u00f3digo malicioso.<\/p>\n

El punto de partida es un archivo con extensiones dobles (.pdf.msc) que se hace pasar por un archivo PDF (si la configuraci\u00f3n para mostrar extensiones de archivo est\u00e1 deshabilitada) y est\u00e1 dise\u00f1ado para ejecutar un c\u00f3digo JavaScript incrustado cuando se inicia usando Microsoft Management Console (MMC). ).<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Este c\u00f3digo, a su vez, es responsable de recuperar y mostrar un archivo se\u00f1uelo, al tiempo que carga de forma encubierta un archivo DLL (“DismCore.dll”) en segundo plano. Uno de esos documentos utilizados en la campa\u00f1a se llama “Reducciones de impuestos, reembolsos y cr\u00e9ditos 2024”, que es un documento leg\u00edtimo asociado con la Junta Federal de Ingresos de Pakist\u00e1n (FBR).<\/p>\n

“Adem\u00e1s de entregar la carga \u00fatil desde una cadena incrustada y ofuscada, el archivo .MSC puede ejecutar c\u00f3digo adicional accediendo a un archivo HTML remoto que tambi\u00e9n logra el mismo objetivo”, dijeron los investigadores, y agregaron que la persistencia se establece usando tareas programadas.<\/p>\n

La carga \u00fatil principal es una puerta trasera capaz de establecer contacto con un servidor remoto y ejecutar comandos enviados por \u00e9l para filtrar datos de los sistemas comprometidos. Securonix dijo que el ataque se interrumpi\u00f3 24 horas despu\u00e9s de la infecci\u00f3n inicial.<\/p>\n

“Desde el JavaScript altamente ofuscado utilizado en las etapas iniciales hasta el c\u00f3digo de malware profundamente oculto dentro de la DLL, toda la cadena de ataque ejemplifica las complejidades de detectar y analizar el c\u00f3digo malicioso contempor\u00e1neo”, dijeron los investigadores.<\/p>\n

“Otro aspecto notable de esta campa\u00f1a es la explotaci\u00f3n de archivos MSC como una evoluci\u00f3n potencial del archivo LNK cl\u00e1sico que ha sido popular entre los actores de amenazas en los \u00faltimos a\u00f1os. Al igual que los archivos LNK, tambi\u00e9n permiten la ejecuci\u00f3n de c\u00f3digo malicioso mientras se combinan en flujos de trabajo administrativos leg\u00edtimos de Windows”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n