Los investigadores de ciberseguridad han revelado<\/a> detalles de un nuevo malware BackConnect (BC) desarrollado por actores de amenazas vinculados al infame cargador QakBot.<\/p>\n “BackConnect es una caracter\u00edstica o m\u00f3dulo com\u00fan utilizado por los actores de amenazas para mantener la persistencia y realizar tareas”, dijo el equipo de Cyber \u200b\u200bIntelligence de Walmart a The Hacker News. “Los BackConnect en uso eran ‘DarkVNC’ junto con IcedID BackConnect (Ojo de cerradura<\/a>). “<\/p>\n La compa\u00f1\u00eda se\u00f1al\u00f3 que el m\u00f3dulo BC se encontr\u00f3 en la misma infraestructura que se observ\u00f3 distribuyendo otro cargador de malware llamado ZLoader, que se actualiz\u00f3 recientemente para incorporar un t\u00fanel del Sistema de nombres de dominio (DNS) para comunicaciones de comando y control (C2).<\/p>\n QakBot, tambi\u00e9n llamado QBot y Pinkslipbot, sufri\u00f3 un importante rev\u00e9s operativo en 2023 despu\u00e9s de que su infraestructura fuera confiscada como parte de un esfuerzo coordinado de aplicaci\u00f3n de la ley llamado Duck Hunt. Desde entonces, se han descubierto campa\u00f1as espor\u00e1dicas que propagan el malware.<\/p>\n Originalmente concebido como un troyano bancario, luego se adapt\u00f3 a un cargador capaz de entregar cargas \u00fatiles de la siguiente etapa a un sistema objetivo, como un ransomware. Una caracter\u00edstica notable de QakBot, junto con IcedID, es su m\u00f3dulo BC que ofrece a los actores de amenazas la capacidad de utilizar el host como proxy, as\u00ed como ofrecer un canal de acceso remoto mediante un componente VNC integrado.<\/p>\n El an\u00e1lisis de Walmart ha revelado que el m\u00f3dulo BC, adem\u00e1s de contener referencias a muestras antiguas de QakBot, ha sido mejorado y desarrollado a\u00fan m\u00e1s para recopilar informaci\u00f3n del sistema, actuando m\u00e1s o menos como un programa aut\u00f3nomo para facilitar la explotaci\u00f3n posterior.<\/p>\n “En este caso, el malware del que hablamos es una puerta trasera independiente que utiliza BackConnect como medio para permitir que un actor de amenazas tenga acceso al teclado”, dijo Walmart. “Esta distinci\u00f3n se ve a\u00fan m\u00e1s pronunciada por el hecho de que esta puerta trasera recopila informaci\u00f3n del sistema”.<\/p>\n El malware BC tambi\u00e9n ha sido objeto de un an\u00e1lisis independiente por parte de Sophos, que atribuy\u00f3 los artefactos a un grupo de amenazas que rastrea como STAC5777, que, a su vez, se superpone con Storm-1811, un grupo cibercriminal conocido por abusar de Quick Assist para Black Basta. implementaci\u00f3n de ransomware haci\u00e9ndose pasar por personal de soporte t\u00e9cnico.<\/p>\n La empresa brit\u00e1nica de ciberseguridad se\u00f1al\u00f3 que tanto STAC5777 como STAC5143 -un grupo de amenazas con posibles v\u00ednculos con FIN7- han recurrido a bombardeo de correo electr\u00f3nico<\/a> y Microsoft Teams atacan a posibles objetivos y los enga\u00f1an para que otorguen a los atacantes acceso remoto a sus computadoras a trav\u00e9s de Quick Assist o el uso compartido de pantalla integrado de Teams para instalar puertas traseras de Python y el ransomware Black Basta.<\/p>\n “Ambos actores de amenazas operaron sus propios inquilinos del servicio Microsoft Office 365 como parte de sus ataques y aprovecharon una configuraci\u00f3n predeterminada de Microsoft Teams que permite a los usuarios de dominios externos iniciar chats o reuniones con usuarios internos”, Sophos dicho<\/a>.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/El-malware-BC-vinculado-a-QakBot-agrega-funciones-mejoradas-de.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n