{"id":1676321,"date":"2025-04-18T12:58:28","date_gmt":"2025-04-18T12:58:28","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-ataque-de-malware-de-varias-etapas-usa-jse-y-powershell-para-implementar-el-agente-tesla-y-xloader\/"},"modified":"2025-04-18T12:58:33","modified_gmt":"2025-04-18T12:58:33","slug":"el-ataque-de-malware-de-varias-etapas-usa-jse-y-powershell-para-implementar-el-agente-tesla-y-xloader","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-ataque-de-malware-de-varias-etapas-usa-jse-y-powershell-para-implementar-el-agente-tesla-y-xloader\/","title":{"rendered":"El ataque de malware de varias etapas usa .JSE y PowerShell para implementar el agente Tesla y XLoader"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Se ha observado un nuevo ataque de varias etapas que ofrece familias de malware como las variantes del agente Tesla, REMCOS RAT y XLOGER.<\/p>\n

“Los atacantes dependen cada vez m\u00e1s de tales mecanismos de entrega complejos para evadir la detecci\u00f3n, omitir las cajas de arena tradicionales y garantizar la entrega y ejecuci\u00f3n exitosas de la carga \u00fatil”, la Unidad de Palo Alto Networks 42 Investigador Saqib Khanzada dicho<\/a> En una redacci\u00f3n t\u00e9cnica de la campa\u00f1a.<\/p>\n

El punto de partida del ataque es un correo electr\u00f3nico enga\u00f1oso que plantea una solicitud de pedido para entregar un archivo de archivo malicioso de 7 ZIP, que contiene un archivo JavaScript codificado (.JSE).<\/p>\n

El correo electr\u00f3nico de phishing, observado en diciembre de 2024, afirm\u00f3 falsamente que se hab\u00eda realizado un pago e inst\u00f3 al destinatario a revisar un archivo de pedido adjunto. El lanzamiento de la carga \u00fatil de JavaScript desencadena la secuencia de infecci\u00f3n, con el archivo que act\u00faa como un descargador para un script PowerShell desde un servidor externo.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El script, a su vez, alberga una carga \u00fatil codificada de Base64 que posteriormente se descifr\u00f3, escrita en el directorio temporal de Windows y se ejecuta. Aqu\u00ed es donde sucede algo interesante: el ataque conduce a un gotero de pr\u00f3xima etapa que se compila usando .NET o Autoit.<\/p>\n

En el caso de un ejecutable de .NET, la carga \u00fatil incrustada incrustada, una variante de agente Tesla sospechada de serpiente keylogger o xloader, est\u00e1 decodificada e inyectada en un proceso “regasma.exe” en ejecuci\u00f3n, una t\u00e9cnica observada en las campa\u00f1as de Tesla del agente anterior.<\/p>\n

El Autoit compilado ejecutable, por otro lado, introduce una capa adicional en un intento de complicar a\u00fan m\u00e1s los esfuerzos de an\u00e1lisis. El script Autoit dentro del ejecutable incorpora una carga \u00fatil encriptada responsable de cargar el c\u00f3digo de shell -Code final, lo que hace que el archivo .NET se inyecte en un proceso “regsvcs.exe”, que finalmente lleva a la implementaci\u00f3n del agente Tesla.<\/p>\n

\"Ataque<\/a><\/div>\n

“Esto sugiere que el atacante emplea m\u00faltiples rutas de ejecuci\u00f3n para aumentar la resiliencia y evadir la detecci\u00f3n”, se\u00f1al\u00f3 Khanzada. “El enfoque del atacante permanece en una cadena de ataque de varias capas en lugar de una ofuscaci\u00f3n sofisticada”.<\/p>\n

“Al apilar etapas simples en lugar de centrarse en t\u00e9cnicas altamente sofisticadas, los atacantes pueden crear cadenas de ataque resistentes que complicen el an\u00e1lisis y la detecci\u00f3n”.<\/p>\n

Ironhusky ofrece una nueva versi\u00f3n de MysterSynail Rat<\/h3>\n

La divulgaci\u00f3n se produce cuando Kaspersky detallado<\/a> Una campa\u00f1a que se dirige a organizaciones gubernamentales ubicadas en Mongolia y Rusia con una nueva versi\u00f3n de un malware llamado MysterySnail Rat. La actividad se ha atribuido a un actor de amenaza de habla china denominada Ironhusky.<\/p>\n

Ironhusky, evaluado como activo desde al menos 2017, fue documentado anteriormente por la Russian CyberseCurity Company en octubre de 2021 en relaci\u00f3n con la explotaci\u00f3n del d\u00eda cero de CVE-2021-40449, un defecto de escalada de privilegio Win32k, para entregar MysterySnail.<\/p>\n

Las infecciones se originan en un script de consola de gesti\u00f3n de Microsoft (MMC) malicioso que imita un documento de Word de la Agencia Nacional de Tierras de Mongolia (“COFINANTE DE LATER_ALAMGAC”). El script est\u00e1 dise\u00f1ado para recuperar un archivo zip con un documento de se\u00f1uelo, un binario leg\u00edtimo (“ciscocollabhost.exe”) y un dll malicioso (“ciscospoSpoSpoSparklauncher.dll”).<\/p>\n

No se sabe exactamente c\u00f3mo el script MMC se distribuye a objetivos de inter\u00e9s, aunque la naturaleza del documento de se\u00f1uelo sugiere que puede haber sido a trav\u00e9s de una campa\u00f1a de phishing.<\/p>\n

Como se observ\u00f3 en muchos ataques, “Ciscocollabhost.exe” se usa para dejar a luz la DLL, un trasero intermediario capaz de comunicarse con la infraestructura controlada por los atacantes aprovechando la fuente abierta de la fuente abierta servidor de tuber\u00edas<\/a> proyecto.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La puerta trasera admite capacidades para ejecutar shells de comando, descargar\/cargar archivos, enumerar el contenido del directorio, eliminar archivos, crear nuevos procesos y terminarse. Estos comandos se usan para Sideload Mysterysnail Rat.<\/p>\n

La \u00faltima versi\u00f3n del malware es capaz de aceptar casi 40 comandos, lo que le permite realizar operaciones de administraci\u00f3n de archivos, ejecutar comandos a trav\u00e9s de cmd.exe, procesos de desove y matar, administrar servicios y conectarse a recursos de red a trav\u00e9s de m\u00f3dulos DLL dedicados.<\/p>\n

Kasperksy dijo que observ\u00f3 a los atacantes dejar caer una “versi\u00f3n reutilizada y m\u00e1s ligera” de Mysterysnail con nombre en c\u00f3digo MysteryMonosnail despu\u00e9s de que las empresas afectadas tomaron acciones afectadas para bloquear las intrusiones. <\/p>\n

“Esta versi\u00f3n no tiene tantas capacidades como la versi\u00f3n de MysterySnail Rat”, se\u00f1al\u00f3 la compa\u00f1\u00eda. “Se program\u00f3 para tener solo 13 comandos b\u00e1sicos, usados \u200b\u200bpara enumerar el contenido del directorio, escribir datos en archivos y iniciar procesos y shells remotos”.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n