{"id":1734746,"date":"2025-05-25T10:40:08","date_gmt":"2025-05-25T10:40:08","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-usan-instaladores-falsos-de-vpn-y-navegador-nsis-para-entregar-malware-winos-4-0\/"},"modified":"2025-05-25T10:40:14","modified_gmt":"2025-05-25T10:40:14","slug":"los-piratas-informaticos-usan-instaladores-falsos-de-vpn-y-navegador-nsis-para-entregar-malware-winos-4-0","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-usan-instaladores-falsos-de-vpn-y-navegador-nsis-para-entregar-malware-winos-4-0\/","title":{"rendered":"Los piratas inform\u00e1ticos usan instaladores falsos de VPN y navegador NSIS para entregar malware Winos 4.0"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>25 de mayo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia de amenazas \/ seguridad del software<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de seguridad cibern\u00e9tica han revelado una campa\u00f1a de malware que utiliza instaladores de software falsos disfrazados de herramientas populares como LetSVPN y QQ Browser para entregar el Winos 4.0<\/strong> estructura.<\/p>\n

La campa\u00f1a, detectada por primera vez por Rapid7 en febrero de 2025, implica el uso de un cargador residente de memoria m\u00faltiple llamado Catena.<\/p>\n

“Catena utiliza la l\u00f3gica de conmutaci\u00f3n de shell y configuraci\u00f3n integrada para organizar cargas \u00fatiles como Winos 4.0 completamente en la memoria, evadiendo las herramientas antivirus tradicionales”, los investigadores de seguridad Anna \u0160irokova e Ivan Feigl dicho<\/a>. “Una vez instalado, se conecta silenciosamente a los servidores controlados por los atacantes, en su mayor\u00eda alojados en Hong Kong, para recibir instrucciones de seguimiento o malware adicional”.<\/p>\n

Los ataques, como los que han desplegado Winos 4.0 en el pasado, parecen centrarse espec\u00edficamente en entornos de habla china, con la compa\u00f1\u00eda de seguridad cibern\u00e9tica llamando a la “planificaci\u00f3n cuidadosa y a largo plazo” por un actor de amenaza muy capaz.<\/p>\n

Winos 4.0 (tambi\u00e9n conocido como Valleyrat) fue documentado p\u00fablicamente por Trend Micro en junio de 2024 como se usa en ataques dirigidos a usuarios de habla china por medio de archivos de instalador de Windows (MSI) para aplicaciones VPN. La actividad se ha atribuido a un cl\u00faster de amenazas que rastrea como Void Arachne, que tambi\u00e9n se conoce como Silver Fox.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Las campa\u00f1as posteriores que distribuyen el malware han aprovechado las aplicaciones relacionadas con los juegos como herramientas de instalaci\u00f3n, estimulantes de velocidad y utilidades de optimizaci\u00f3n como se\u00f1uelos para enga\u00f1ar a los usuarios para que la instalen. Otra ola de ataque detallada en febrero de 2025 entidades dirigidas en Taiw\u00e1n a trav\u00e9s de correos electr\u00f3nicos de phishing que pretend\u00edan ser de la Oficina Nacional de Impuestos.<\/p>\n

Construido sobre los cimientos de un troyano de acceso remoto conocido llamado GH0ST RAT, Winos 4.0 es un marco malicioso avanzado escrito en C ++ que utiliza un sistema basado en complementos para cosechar datos, proporcionar acceso remoto de shell y lanzar ataques distribuidos de denegaci\u00f3n de servicio (DDoS).<\/p>\n\n\n\n\n
\"Malware<\/a><\/td>\n<\/tr>\n
Flujo de infecci\u00f3n basado en Qqbrowser observado en febrero de 2025<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Rapid7 dijo que todos los artefactos marcados en febrero de 2025 se basaron en los instaladores de NSIS agrupados con aplicaciones de se\u00f1uelo firmadas, SHellcode incrustado en archivos “.ini” e inyecci\u00f3n reflexiva de DLL para mantener encubierte la persistencia en hosts infectados y evitar la detecci\u00f3n. Toda la cadena de infecciones ha recibido el apodo Catena.<\/p>\n

“La campa\u00f1a ha estado activa hasta ahora durante 2025, mostrando una cadena de infecci\u00f3n consistente con algunos ajustes t\u00e1cticos, apuntando a un actor de amenaza capaz y adaptativa”, dijeron los investigadores.<\/p>\n

El punto de partida es un instalador de NSIS troyanizado que se hace pasar por un instalador para el navegador QQ, un navegador web basado en Chromium desarrollado por Tencent, que est\u00e1 dise\u00f1ado para ofrecer WINOS 4.0 usando Catena. El malware se comunica con la infraestructura de comando y control (C2) codificada sobre el puerto TCP 18856 y el puerto HTTPS 443.<\/p>\n\n\n\n\n
\"Malware<\/a><\/td>\n<\/tr>\n
Desde el instalador de Letsvpn hasta los Winos 4.0 en abril de 2025<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

La persistencia en el host se logra registrando tareas programadas que se ejecutan semanas despu\u00e9s del compromiso inicial. Si bien el malware presenta una verificaci\u00f3n expl\u00edcita para buscar configuraciones de idioma chino en el sistema, a\u00fan contin\u00faa con la ejecuci\u00f3n, incluso si ese no es el caso.<\/p>\n

Esto indica que es una caracter\u00edstica inacabada y algo que se espera implementarse en iteraciones posteriores del malware. Dicho esto, Rapid7 dijo que identific\u00f3 en abril de 2025 un “cambio t\u00e1ctico” que no solo cambi\u00f3 algunos de los elementos de la cadena de ejecuci\u00f3n de Catena, sino que tambi\u00e9n incorpor\u00f3 caracter\u00edsticas para evadir la detecci\u00f3n de antivirus.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

En la secuencia de ataque renovado, el instalador de NSIS se disfraza de un archivo de configuraci\u00f3n para LetSVPN y ejecuta un comando PowerShell que agrega exclusiones de Microsoft Defender para todas las unidades (C: a z: ). Luego deja caer cargas \u00fatiles adicionales, incluido un ejecutable que toma una instant\u00e1nea de procesos de ejecuci\u00f3n y verifica los procesos relacionados con la seguridad total 360, un producto antivirus desarrollado por el proveedor chino Qihoo 360.<\/p>\n

El binario est\u00e1 firmado con un certificado caducado emitido por VeriSign y supuestamente pertenece a Tencent Technology (Shenzhen). Fue v\u00e1lido de 2018-10-11 a 2020-02-02. La responsabilidad principal del ejecutable es cargar reflexivamente un archivo DLL que, a su vez, se conecta a un servidor C2 (“134.122.204[.]11: 18852 “o” 103.46.185[.]44: 443 “) para descargar y ejecutar Winos 4.0.<\/p>\n

“Esta campa\u00f1a muestra una operaci\u00f3n de malware bien organizada y enfocada regionalmente utilizando instaladores de NSIS troyanizados para dejar caer silenciosamente el stager de Winos 4.0”, dijeron los investigadores.<\/p>\n

“Se inclina fuertemente en las cargas \u00fatiles residentes en la memoria, la carga de DLL reflectante y el software se\u00f1uelo firmado con certificados leg\u00edtimos para evitar aumentar las alarmas. Las superposiciones de infraestructura y la pista de orientaci\u00f3n basada en el lenguaje en los lazos con Silver Fox APT, con actividad probablemente dirigida a entornos de habla china”.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n