Una campa\u00f1a de phishing recientemente observada est\u00e1 aprovechando la vulnerabilidad de seguridad de Follina recientemente revelada para distribuir una puerta trasera no documentada anteriormente en los sistemas Windows.<\/p>\n
“Rozena es un malware de puerta trasera que es capaz de inyectar una conexi\u00f3n de shell remota a la m\u00e1quina del atacante”, dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. dijo<\/a> en un informe esta semana.<\/p>\n Rastreada como CVE-2022-30190, la vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo de Microsoft Windows Support Diagnostic Tool (MSDT) ahora parcheada ha sido objeto de una fuerte explotaci\u00f3n en las \u00faltimas semanas desde que sali\u00f3 a la luz a fines de mayo de 2022.<\/p>\n El punto de partida de la \u00faltima cadena de ataques observada por Fortinet es un arma Documento de oficina<\/a> que, cuando se abre, se conecta a una URL de Discord CDN para recuperar un archivo HTML (“\u00edndice.htm<\/a>“) que, a su vez, invoca la utilidad de diagn\u00f3stico mediante un comando de PowerShell para descargar las cargas \u00fatiles de la pr\u00f3xima etapa desde el mismo espacio adjunto de CDN.<\/p>\n Esto incluye el implante Rozena (“Word.exe”) y un archivo por lotes (“cd.bat”) que est\u00e1 dise\u00f1ado para finalizar los procesos de MSDT, establecer la persistencia de la puerta trasera mediante la modificaci\u00f3n del Registro de Windows y descargar un documento de Word inofensivo como se\u00f1uelo. .<\/p>\n La funci\u00f3n principal del malware es inyectar c\u00f3digo shell que lanza un shell inverso al host del atacante (“microsofto.duckdns[.]org”), lo que en \u00faltima instancia le permite al atacante tomar el control del sistema requerido para monitorear y capturar informaci\u00f3n, al mismo tiempo que mantiene una puerta trasera al sistema comprometido.<\/p>\n La explotaci\u00f3n de la falla de Follina para distribuir malware a trav\u00e9s de documentos de Word maliciosos se presenta como ataques de ingenier\u00eda social. confiando<\/a> en Microsoft Excel, acceso directo de Windows (LNK) y archivos de imagen ISO como cuentagotas para implementar malware como Emotet, QBot, IcedID y Bumblebee en el dispositivo de la v\u00edctima.<\/p>\n Se dice que los cuentagotas se distribuyen a trav\u00e9s de correos electr\u00f3nicos que contienen directamente el cuentagotas o un ZIP protegido con contrase\u00f1a como archivo adjunto, un archivo HTML que extrae el cuentagotas cuando se abre o un enlace para descargar el cuentagotas en el cuerpo del correo electr\u00f3nico.<\/p>\n Si bien los ataques detectados a principios de abril destacaron archivos de Excel con macros XLM, se dice que la decisi\u00f3n de Microsoft de bloquear macros de forma predeterminada casi al mismo tiempo oblig\u00f3 a los actores de amenazas a pasar a m\u00e9todos alternativos como el contrabando de HTML, as\u00ed como archivos .LNK e .ISO. .<\/p>\n El mes pasado, Cyble revel\u00f3 detalles de una herramienta de malware llamada Quantum que se vende en foros clandestinos para equipar a los ciberdelincuentes con capacidades para crear archivos .LNK e .ISO maliciosos.<\/p>\n![\"rozena](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657362228_858_Los-piratas-informaticos-aprovechan-el-error-de-Follina-para-implementar.jpg\" "\\"rozena")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n![\"rozena](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657362228_995_Los-piratas-informaticos-aprovechan-el-error-de-Follina-para-implementar.jpg\" "\\"rozena")
<\/div>\n