Se ha observado que un actor de amenaza afiliado a los chinos conocido por sus ataques cibern\u00e9ticos en Asia explotando un defecto de seguridad en el software de seguridad de ESET para entregar un malware previamente indocumentado con nombre en c\u00f3digo TCEB<\/strong>.<\/p>\n “Anteriormente invisible en ataques de Toddycat, [TCESB] est\u00e1 dise\u00f1ado para ejecutar sigilosamente las cargas \u00fatiles en la elecci\u00f3n de las herramientas de protecci\u00f3n y monitoreo instaladas en el dispositivo “, Kaspersky dicho<\/a> En un an\u00e1lisis publicado esta semana.<\/p>\n Toddycat es el nombre dado a un grupo de actividades de amenaza que ha atacado a varias entidades en Asia, con ataques que datan hasta al menos diciembre de 2020.<\/p>\n El a\u00f1o pasado, el proveedor de ciberseguridad ruso detall\u00f3 el uso del grupo de pirater\u00eda de varias herramientas para mantener el acceso persistente a entornos comprometidos y recolectar datos en una “escala industrial” de organizaciones ubicadas en la regi\u00f3n de Asia y el Pac\u00edfico.<\/p>\n Kaspersky dijo que su investigaci\u00f3n sobre incidentes relacionados con Toddycat a principios de 2024 desenterr\u00f3 un archivo DLL sospechoso (“Version.dll”) en el directorio TEMP en m\u00faltiples dispositivos. Se ha encontrado que la DLL de 64 bits, TCEB, se lanza a trav\u00e9s de una t\u00e9cnica llamada Secuestro de pedidos de b\u00fasqueda de dll<\/a> Para confiscar el control del flujo de ejecuci\u00f3n.<\/p>\n Se dice que esto, a su vez, se logr\u00f3 aprovechando un defecto en el Esc\u00e1ner de l\u00ednea de comandos ESET<\/a>que carga inseguamente una DLL llamada “Version.dll” al verificar primero el archivo en el directorio actual y luego verificarlo en los directorios del sistema.<\/p>\n Vale la pena se\u00f1alar en esta etapa que “versi\u00f3n.dll<\/a>“es un leg\u00edtimo Biblioteca de instalaci\u00f3n de verificaci\u00f3n de versi\u00f3n y de archivos<\/a> Desde Microsoft que reside en los directorios “C: Windows System32 ” o “C: Windows Syswow64 “.<\/p>\n Una consecuencia de explotar esta laguna es que los atacantes podr\u00edan ejecutar su versi\u00f3n maliciosa de “versi\u00f3n.dll” en lugar de su contraparte leg\u00edtima. La vulnerabilidad, rastreada como CVE-2024-11859<\/a> (Puntuaci\u00f3n CVSS: 6.8), fue fijado<\/a> por Eset a fines de enero de 2025 despu\u00e9s de la divulgaci\u00f3n responsable.<\/p>\n “La vulnerabilidad potencialmente permiti\u00f3 a un atacante con privilegios de administrador cargar una biblioteca de enlace din\u00e1mico malicioso y ejecutar su c\u00f3digo”, ESET dicho<\/a> en un aviso publicado la semana pasada. “Sin embargo, esta t\u00e9cnica no elev\u00f3 los privilegios: el atacante ya habr\u00eda necesitado tener privilegios de administrador para realizar este ataque”.<\/p>\n En un comunicado compartido con Hacker News, la compa\u00f1\u00eda de seguridad cibern\u00e9tica eslovaca dijo que lanz\u00f3 construcciones fijas de sus productos de seguridad de consumidores, negocios y servidores para el sistema operativo Windows para abordar la vulnerabilidad.<\/p>\n TCEB, por su parte, es una versi\u00f3n modificada de una herramienta de c\u00f3digo abierto llamada edrsandblast que incluye caracter\u00edsticas para alterar las estructuras del n\u00facleo del sistema operativo para deshabilitar las rutinas de notificaci\u00f3n (tambi\u00e9n conocido como devoluciones de llamada<\/a>), que est\u00e1n dise\u00f1ados para permitir que los conductores sean notificados de eventos espec\u00edficos, como la creaci\u00f3n de procesos o establecer una clave de registro.<\/p>\n Para lograr esto, TCEB aprovecha otra t\u00e9cnica conocida denominada Trae su propio controlador vulnerable (BYOVD) para instalar un controlador vulnerable, un controlador DButilDRV2.Sys, en el sistema a trav\u00e9s de la interfaz del administrador de dispositivos. El conductor dButilDRV2.Sys es susceptible a una falla de escalada de privilegio conocida rastreada como CVE-2021-36276<\/a>.<\/p>\n Este no es los primeros conductores de Dell han sido abusados \u200b\u200bcon fines maliciosos. En 2022, una vulnerabilidad de escalada de privilegio similar (CVE-2021-21551<\/a>) En otro conductor de Dell, DButil_2_3.Sys, tambi\u00e9n fue explotado como parte de los ataques de BYOVD por el grupo L\u00e1zaro vinculado a Corea del Norte para desactivar los mecanismos de seguridad.<\/p>\n “Una vez que el controlador vulnerable est\u00e1 instalado en el sistema, TCEB ejecuta un bucle en el que verifica cada dos segundos por la presencia de un archivo de carga \u00fatil con un nombre espec\u00edfico en el directorio actual: la carga \u00fatil puede no estar presente al momento de iniciar la herramienta”, dijo el investigador de Kaspersky, Andrey Gunkin.<\/p>\n Si bien los artefactos de carga \u00fatil no est\u00e1n disponibles, un an\u00e1lisis adicional ha determinado que est\u00e1n encriptados usando AES-128 y que est\u00e1n decodificados y ejecutados tan pronto como aparecen en la ruta especificada.<\/p>\n “Para detectar la actividad de tales herramientas, se recomienda monitorear los sistemas para eventos de instalaci\u00f3n que involucran a conductores con vulnerabilidades conocidas”, dijo Kaspersky. “Tambi\u00e9n vale la pena monitorear los eventos asociados con la carga de s\u00edmbolos de depuraci\u00f3n del kernel de Windows en dispositivos donde no se espera la depuraci\u00f3n del n\u00facleo del sistema operativo”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Nuevo-malware-TCEB-encontrado-en-ataques-activos-que-explotan-el.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n