{"id":1651429,"date":"2025-04-02T20:49:55","date_gmt":"2025-04-02T20:49:55","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-nuevos-cargadores-de-malware-usan-la-falsificacion-de-la-pila-de-llamadas-github-c2-y-net-reactor-para-sigiloso\/"},"modified":"2025-04-02T20:50:00","modified_gmt":"2025-04-02T20:50:00","slug":"los-nuevos-cargadores-de-malware-usan-la-falsificacion-de-la-pila-de-llamadas-github-c2-y-net-reactor-para-sigiloso","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-nuevos-cargadores-de-malware-usan-la-falsificacion-de-la-pila-de-llamadas-github-c2-y-net-reactor-para-sigiloso\/","title":{"rendered":"Los nuevos cargadores de malware usan la falsificaci\u00f3n de la pila de llamadas, GitHub C2 y .NET Reactor para sigiloso"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>02 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Detecci\u00f3n de amenazas \/ malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han descubierto una versi\u00f3n actualizada de un cargador de malware llamado cargador de secuestro que implementa nuevas caracter\u00edsticas para evadir la detecci\u00f3n y establecer la persistencia en los sistemas comprometidos.<\/p>\n

“El cargador de secuestro lanz\u00f3 un nuevo m\u00f3dulo que implementa la falsificaci\u00f3n de la pila de llamadas para ocultar el origen de las llamadas de funci\u00f3n (p. Ej., API y llamadas del sistema)”, el investigador de Zscaler Amenazlabz Muhammed Irfan VA dicho<\/a> en un an\u00e1lisis. “El cargador de secuestro agreg\u00f3 un nuevo m\u00f3dulo para realizar verificaciones anti-VM para detectar entornos de an\u00e1lisis de malware y cajas de arena”.<\/p>\n

El cargador de secuestro, descubierto por primera vez en 2023, ofrece la capacidad de entregar cargas \u00fatiles de segunda etapa, como malware del robador de informaci\u00f3n. Tambi\u00e9n viene con una variedad de m\u00f3dulos para evitar el software de seguridad e inyectar c\u00f3digo malicioso. Hijack Loader es rastreado por la comunidad m\u00e1s amplia de ciberseguridad bajo los nombres Doiloader, Ghostpulse, Idat Loader y Shadowladder.<\/p>\n

En octubre de 2024, Harfanglab y elastic Security Labs detallaron las campa\u00f1as de cargadores de secuestro que aprovecharon los certificados leg\u00edtimos de firma de c\u00f3digo, as\u00ed como la infame estrategia de ClickFix para distribuir el malware.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La \u00faltima iteraci\u00f3n del cargador viene con una serie de mejoras sobre su predecesor, la m\u00e1s notable es la adici\u00f3n de la falsificaci\u00f3n de la pila de llamadas como una t\u00e1ctica de evasi\u00f3n para ocultar el origen de las API y las llamadas del sistema, un m\u00e9todo recientemente adoptado por otro cargador de malware conocido como Coffeeloader.<\/p>\n

“Esta t\u00e9cnica utiliza una cadena de punteros EBP para atravesar la pila y ocultar la presencia de una llamada maliciosa en la pila al reemplazar los marcos reales de la pila por los fabricados”, dijo Zscaler.<\/p>\n

Al igual que con las versiones anteriores, el cargador de secuestro aprovecha la t\u00e9cnica de la puerta del cielo para ejecutar Syscalls directos de 64 bits para la inyecci\u00f3n de procesos. Otros cambios incluyen una revisi\u00f3n de la lista de procesos en lista de bloques para incluir “Avastsvc.exe”, un componente del antivirus Avast, para retrasar la ejecuci\u00f3n en cinco segundos.<\/p>\n

\"\"<\/a><\/div>\n

El malware tambi\u00e9n incorpora dos nuevos m\u00f3dulos, a saber, antivm para detectar m\u00e1quinas virtuales y Modtask para configurar la persistencia a trav\u00e9s de tareas programadas.<\/p>\n

Los resultados muestran que el cargador de secuestro contin\u00faa siendo mantenido activamente por sus operadores con la intenci\u00f3n de complicar el an\u00e1lisis y la detecci\u00f3n.<\/p>\n

Shelby Malware utiliza GitHub para comando y control<\/h3>\n

El desarrollo se produce cuando elastic Security Labs detall\u00f3 una nueva familia de malware denominada Shelby que utiliza GitHub para comando y control (C2), exfiltraci\u00f3n de datos y control remoto. La actividad se est\u00e1 rastreando como Ref8685.<\/p>\n

La cadena de ataque implica el uso de un correo electr\u00f3nico de phishing como punto de partida para distribuir un archivo ZIP que contiene un binario .NET que se usa para ejecutar un cargador DLL rastreado como ShelbyLoader (“httpservice.dll”) a trav\u00e9s de la carga lateral de DLL. Los mensajes de correo electr\u00f3nico se entregaron a una firma de telecomunicaciones con sede en Iraq a trav\u00e9s de un correo electr\u00f3nico de phishing altamente dirigido enviado desde la organizaci\u00f3n espec\u00edfica.<\/p>\n

\"\"<\/a><\/div>\n

Posteriormente, el cargador inicia comunicaciones con GitHub para C2 para extraer un valor espec\u00edfico de 48 bytes de un archivo llamado “License.txt” en el repositorio controlado por los atacantes. El valor se usa para generar una clave de descifrado AES y descifrar la carga \u00fatil principal de puerta trasera (“httpapi.dll”) y cargarla en la memoria sin dejar artefactos detectables en el disco.<\/p>\n

“ShelbyLoader utiliza t\u00e9cnicas de detecci\u00f3n de sandbox para identificar entornos virtualizados o monitoreados”, elastic dicho<\/a>. “Una vez ejecutado, devuelve los resultados a C2. Estos resultados se empaquetan como archivos de registro, lo que detalla si cada m\u00e9todo de detecci\u00f3n identific\u00f3 con \u00e9xito un entorno Sandbox”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La puerta trasera ShelByc2, por su parte, los comandos PARSE enumerados en otro archivo llamado “Command.txt” para descargar\/cargar archivos de\/a un repositorio de GitHub, cargar un binario .NET reflexivamente y ejecutar los comandos de PowerShell. Lo que es notable aqu\u00ed es que la comunicaci\u00f3n C2 ocurre a trav\u00e9s de compromisos con el repositorio privado haciendo uso de un token de acceso personal (PAT).<\/p>\n

“La forma en que se configura el malware significa que cualquier persona con el PAT (token de acceso personal) puede obtener comandos te\u00f3ricamente enviados por el atacante y las salidas de comandos de acceso de cualquier m\u00e1quina v\u00edctima”, dijo la compa\u00f1\u00eda. “Esto se debe a que el token Pat est\u00e1 integrado en el binario y puede ser utilizado por cualquiera que lo obtenga”.<\/p>\n

Emmenhtal se extiende Smokeloader a trav\u00e9s de archivos 7-ZIP<\/h3>\n

Los correos electr\u00f3nicos de phishing con se\u00f1uelos con tem\u00e1tica de pago tambi\u00e9n se han observado entregando un cargador de malware en el cargador EMMenhtal Loader (tambi\u00e9n conocido como Peaklight), que act\u00faa como un conducto para implementar otro malware conocido como Smokeloader.<\/p>\n

\"\"<\/a><\/div>\n

“Una t\u00e9cnica notable observada en esta muestra de Smokeloader es el uso de .NET Reactor, una herramienta comercial de protecci\u00f3n de .NET utilizada para la ofuscaci\u00f3n y el embalaje”, GDATA dicho<\/a>.<\/p>\n

“Si bien el Smokeloader ha aprovechado hist\u00f3ricamente a los empacadores como Themida, Enigma Protector y Crypters personalizados, el uso de reactores .NET se alinea con las tendencias observadas en otras familias de malware, particularmente los robadores y cargadores, debido a sus fuertes mecanismos de an\u00e1lisis anti-an\u00e1lisis”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n