Se ha observado una nueva campa\u00f1a de malware aprovechando las t\u00e1cticas de ingenier\u00eda social para ofrecer un rootkit de c\u00f3digo abierto llamado R77.<\/p>\n
La actividad, condenada Oscuro#bat<\/strong> Por Securonix, permite a los actores de amenaza establecer persistencia y evadir la detecci\u00f3n de sistemas comprometidos. Actualmente no se sabe qui\u00e9n est\u00e1 detr\u00e1s de la campa\u00f1a.<\/p>\n RootKit “tiene la capacidad de encubrir o enmascarar cualquier archivo, clave de registro o tarea comenzando con un prefijo espec\u00edfico”, los investigadores de seguridad den iuzvyk y Tim Peck dicho<\/a> En un informe compartido con The Hacker News. “Ha estado dirigido a los usuarios disfraz\u00e1ndose de descargas de software leg\u00edtimas o a trav\u00e9s de estafas falsas de ingenier\u00eda social de Captcha”.<\/p>\n La campa\u00f1a est\u00e1 dise\u00f1ada para atacar principalmente a individuos de habla inglesa, particularmente a los Estados Unidos, Canad\u00e1, Alemania y al Reino Unido.<\/p>\n Obscure#BAT obtiene su nombre del hecho de que el punto de partida del ataque es un script de lotes de Windows ofled que, a su vez, ejecuta los comandos de PowerShell para activar un proceso de etapas m\u00faltiples que culmina en la implementaci\u00f3n del RootKit.<\/p>\n Se han identificado al menos dos rutas de acceso iniciales diferentes para que los usuarios ejecute los scripts de lotes maliciosos: uno que utiliza la infame estrategia de ClickFix dirigiendo a los usuarios a una p\u00e1gina falsa de verificaci\u00f3n CloudFlare Captcha y un segundo m\u00e9todo que emplea anunciando el malware como herramientas leg\u00edtimas como Browser, Software VoIP y clientes de mensajer\u00eda.<\/p>\n Si bien no est\u00e1 claro c\u00f3mo los usuarios son atra\u00eddos al software atrapado en el bobo, se sospecha que involucra enfoques probados como malvertidos o envenenamiento por optimizaci\u00f3n de motores de b\u00fasqueda (SEO).<\/p>\n Independientemente del m\u00e9todo utilizado, la carga \u00fatil de la primera etapa es un archivo que contiene el script por lotes, que luego invoca los comandos de PowerShell para soltar scripts adicionales, realizar modificaciones del registro de Windows y configurar tareas programadas para la persistencia.<\/p>\n “Las tiendas de malware ofuscaron scripts en el registro de Windows y garantizan la ejecuci\u00f3n a trav\u00e9s de tareas programadas, lo que le permite ejecutar sigilosamente en segundo plano”, dijeron los investigadores. “Adem\u00e1s, modifica las claves de registro del sistema para registrar un controlador falso (ACPIX86.SYS), incrust\u00e1ndose a\u00fan m\u00e1s en el sistema”.<\/p>\n Implementado en el transcurso del ataque hay una carga \u00fatil .NET que emplea un grupo de trucos para evadir la detecci\u00f3n. Esto incluye la ofuscaci\u00f3n de flujo de control, el cifrado de cadenas y el uso de nombres de funciones que mezclan caracteres \u00e1rabes, chinos y especiales.<\/p>\n Otra carga \u00fatil cargada por medio de PowerShell es un ejecutable que hace uso de la interfaz de escaneo de antimalware (Amsi<\/a>) parches para evitar detecciones antivirus.<\/p>\n La carga \u00fatil de .NET es en \u00faltima instancia responsable de lanzar un RootKit de modo de sistema llamado “ACPIX86.SYS” en la carpeta “C: Windows System32 Drivers “, que luego se inicia como un servicio. Tambi\u00e9n se entrega un RootKit en modo de usuario denominado R77 para configurar la persistencia en los archivos de host y ocultaci\u00f3n, procesos y claves de registro que coinciden con el patr\u00f3n ($ NYA-).<\/p>\n El malware monitorea a\u00fan m\u00e1s peri\u00f3dicamente para la actividad del portapapeles y el historial de comandos y los guarda en archivos ocultos para una probable exfiltraci\u00f3n.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Oscurebat-malware-utiliza-paginas-de-captcha-falsas-para-implementar-RootKit.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n