{"id":1589615,"date":"2025-02-20T20:31:13","date_gmt":"2025-02-20T20:31:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-ciberdelincuentes-usan-eclipse-jarsigner-para-implementar-malware-de-xloader-a-traves-de-zip-archives\/"},"modified":"2025-02-20T20:31:18","modified_gmt":"2025-02-20T20:31:18","slug":"los-ciberdelincuentes-usan-eclipse-jarsigner-para-implementar-malware-de-xloader-a-traves-de-zip-archives","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-ciberdelincuentes-usan-eclipse-jarsigner-para-implementar-malware-de-xloader-a-traves-de-zip-archives\/","title":{"rendered":"Los ciberdelincuentes usan Eclipse Jarsigner para implementar malware de Xloader a trav\u00e9s de Zip Archives"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">20 de febrero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cibercrimen \/ malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Los-ciberdelincuentes-usan-Eclipse-Jarsigner-para-implementar-malware-de-Xloader.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha observado una campa\u00f1a de malware que distribuye el malware Xloader utilizando el <a rel=\"noopener nofollow\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">T\u00e9cnica de carga lateral de DLL<\/a> Haciendo uso de una aplicaci\u00f3n leg\u00edtima asociada con la Fundaci\u00f3n Eclipse.<\/p>\n<p>&#8220;La aplicaci\u00f3n leg\u00edtima utilizada en el ataque, Jarsigner, es un archivo creado durante la instalaci\u00f3n del paquete IDE distribuido por la Fundaci\u00f3n Eclipse&#8221;, el Centro de Inteligencia de Seguridad AhnLab (ASEC) <a rel=\"noopener nofollow\" href=\"https:\/\/asec.ahnlab.com\/en\/84574\/\" target=\"_blank\">dicho<\/a>. &#8220;Es una herramienta para firmar archivos JAR (Java Archive)&#8221;.<\/p>\n<p>La firma de ciberseguridad de Corea del Sur dijo que el malware se propaga en forma de un archivo postal comprimido que incluye el ejecutable leg\u00edtimo, as\u00ed como los DLL que se acompa\u00f1an para lanzar el malware,<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Documentos2012.exe, una versi\u00f3n renombrada del leg\u00edtimo jarsigner.exe binary jli.dll, un archivo DLL modificado por el actor de amena<\/p>\n<p>La cadena de ataque se cruza a la fase maliciosa cuando se ejecuta &#8220;Documentos2012.exe&#8221;, lo que desencadena la ejecuci\u00f3n de la biblioteca &#8220;jli.dll&#8221; tampl\u00edzis para cargar el malware xloader.<\/p>\n<p>&#8220;El archivo distribuido Concrt140e.dll es una carga \u00fatil cifrada que se descifra durante el proceso de ataque e inyectado en el archivo leg\u00edtimo ASPNET_WP.EXE para su ejecuci\u00f3n&#8221;, dijo ASEC.<\/p>\n<p>&#8220;El malware inyectado, Xloader, roba informaci\u00f3n confidencial, como la PC del usuario y la informaci\u00f3n del navegador, y realiza diversas actividades como la descarga de malware adicional&#8221;.<\/p>\n<p>Un sucesor del Formbook Malware, Xloader se detect\u00f3 por primera vez en la naturaleza en 2020. Est\u00e1 disponible para la venta a otros actores criminales bajo un modelo de malware como servicio (MAAS). En agosto de 2023, se descubri\u00f3 una versi\u00f3n de MacOS del robador de informaci\u00f3n y Keylogger que se hace pasar por Microsoft Office.<\/p>\n<p>&#8220;Las versiones de Xloader 6 y 7 incluyen capas adicionales de ofuscaci\u00f3n y cifrado destinados a proteger el c\u00f3digo cr\u00edtico y la informaci\u00f3n para derrotar la detecci\u00f3n basada en la firma y complicar los esfuerzos de ingenier\u00eda inversa&#8221;, Zscaler Amenazlabz <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/technical-analysis-xloader-versions-6-and-7-part-1\" target=\"_blank\">dicho<\/a> En un informe de dos partes publicado este mes.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1740083472_489_Los-ciberdelincuentes-usan-Eclipse-Jarsigner-para-implementar-malware-de-Xloader.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1740083472_489_Los-ciberdelincuentes-usan-Eclipse-Jarsigner-para-implementar-malware-de-Xloader.png\" alt=\"Malware a trav\u00e9s de los archivos zip\" border=\"0\" data-original-height=\"575\" data-original-width=\"728\" title=\"Malware a trav\u00e9s de los archivos zip\"\/><\/a><\/div>\n<p>&#8220;Xloader ha introducido t\u00e9cnicas que se observaron previamente en Smokeloader, incluidas las partes de c\u00f3digo de Code en tiempo de ejecuci\u00f3n y la evasi\u00f3n de gancho NTDLL&#8221;.<\/p>\n<p>Un an\u00e1lisis posterior del malware ha revelado su uso de listas de se\u00f1uelo codificadas para combinar comunicaciones de red de comando y control real (C2) con tr\u00e1fico a sitios web leg\u00edtimos. Tanto los se\u00f1uelos como los servidores C2 reales est\u00e1n encriptados usando diferentes claves y algoritmos.<\/p>\n<p>Como en el caso de familias de malware como <a rel=\"noopener nofollow\" href=\"https:\/\/www.secureworks.com\/research\/pushdo-downloader-variant-generating-fake-http-requests\" target=\"_blank\">Empuje<\/a>la intenci\u00f3n detr\u00e1s del uso de se\u00f1uelos es generar tr\u00e1fico de red para dominios leg\u00edtimos para disfrazar el tr\u00e1fico real C2.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738386538_999_La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La carga lateral de DLL tambi\u00e9n ha sido <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/posts\/unit42_smartapesg-netsupportrat-stealc-activity-7297994624814432256-HOrX\/\" target=\"_blank\">abusado<\/a> por el actor de amenaza de Smartapesg (tambi\u00e9n conocido como ZPHP o Haneymaney) para entregar NetSupport Rat a trav\u00e9s de sitios web leg\u00edtimos comprometidos con inyecciones web de JavaScript, con el Troya de acceso remoto que act\u00faa como un conducto para soltar el robador de stealc.<\/p>\n<p>El desarrollo se produce cuando ZScaler detall\u00f3 otros dos cargadores de malware llamados <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/nodeloader-exposed-node-js-malware-evading-detection\" target=\"_blank\">Nodeloader<\/a> y <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/technical-analysis-riseloader\" target=\"_blank\">Rescatista<\/a> Eso se ha utilizado para distribuir una amplia gama de robadores de informaci\u00f3n, mineros de criptomonedas y malware Botnet como Vidar, Lumma, Phemedrone, XMrig y Socks5Systemz.<\/p>\n<p>&#8220;Riseloader y Risepro comparten varias similitudes en sus protocolos de comunicaci\u00f3n de red, incluida la estructura de mensajes, el proceso de inicializaci\u00f3n y la estructura de carga \u00fatil&#8221;, se\u00f1al\u00f3. &#8220;Estas superposiciones pueden indicar que el mismo actor de amenaza est\u00e1 detr\u00e1s de ambas familias de malware&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/cybercriminals-use-eclipse-jarsigner-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80220 de febrero de 2025\ue804Ravie LakshmananCibercrimen \/ malware Se ha observado una campa\u00f1a de malware que distribuye el<\/p>\n","protected":false},"author":1,"featured_media":1589616,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,81774,4661,13476,4664,53631,32935,281358,273784,36,4669,273783,4654,273782,4659,4653,4655,18,246983,4665,246984,116,19062,455,239484,72871,164199],"class_list":["post-1589615","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-archives","tag-ataques-ciberneticos","tag-ciberdelincuentes","tag-como-hackear","tag-eclipse","tag-implementar","tag-jarsigner","tag-las-noticias-del-hacker","tag-los","tag-malware","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-traves","tag-usan","tag-violacion","tag-vulnerabilidad-del-software","tag-xloader","tag-zip"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1589615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1589615"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1589615\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1589616"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1589615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1589615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1589615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}