Un actor de amenazas desconocido ha estado apuntando a entidades rusas con un troyano de acceso remoto recientemente descubierto llamado rata le\u00f1osa<\/b> durante al menos un a\u00f1o como parte de una campa\u00f1a de spear-phishing.<\/p>\n
Se dice que la puerta trasera personalizada avanzada se entrega a trav\u00e9s de cualquiera de dos m\u00e9todos: archivos de archivo y documentos de Microsoft Office que aprovechan la vulnerabilidad de la herramienta de diagn\u00f3stico de soporte “Follina” ahora parcheada (CVE-2022-30190) en Windows.<\/p>\n
Al igual que otros implantes dise\u00f1ados para operaciones orientadas al espionaje, Woody RAT presenta una amplia gama de caracter\u00edsticas que permiten al actor de amenazas requisar y robar informaci\u00f3n confidencial de forma remota de los sistemas infectados.<\/p>\n
“Las primeras versiones de esta RAT generalmente se archivaban en un archivo ZIP que pretend\u00eda ser un documento espec\u00edfico de un grupo ruso”, los investigadores de Malwarebytes Ankur Saini y Hossein Jazi. dijo<\/a> en un informe del mi\u00e9rcoles.<\/p>\n “Cuando la vulnerabilidad de Follina se dio a conocer en el mundo, el actor de amenazas cambi\u00f3 a ella para distribuir la carga \u00fatil”.<\/p>\n En un caso, el grupo de piratas inform\u00e1ticos intent\u00f3 atacar una entidad aeroespacial y de defensa rusa conocida como ROBLE<\/a> basado en evidencia obtenida de un dominio falso registrado para este prop\u00f3sito.<\/p>\n Los ataques que aprovechan la falla de Windows como parte de esta campa\u00f1a salieron a la luz por primera vez el 7 de junio de 2022, cuando investigadores del MalwareHunterTeam revelado<\/a> el uso de un documento llamado “\u041f\u0430\u043c\u044f\u0442\u043a\u0430.docx” (que se traduce como “Memo.docx”) para entregar una carga CSS que contiene el troyano.<\/p>\n El documento supuestamente ofrece las mejores pr\u00e1cticas de seguridad para contrase\u00f1as e informaci\u00f3n confidencial, entre otros, mientras act\u00faa como se\u00f1uelo para dejar caer la puerta trasera.<\/p>\n Adem\u00e1s de cifrar sus comunicaciones con un servidor remoto, Woody RAT est\u00e1 equipado con capacidades para escribir archivos arbitrarios en la m\u00e1quina, ejecutar malware adicional, eliminar archivos, enumerar directorios, capturar capturas de pantalla y recopilar una lista de procesos en ejecuci\u00f3n.<\/p>\n Tambi\u00e9n est\u00e1n incrustadas dentro del malware dos bibliotecas basadas en .NET llamadas WoodySharpExecutor y WoodyPowerSession que se pueden usar para ejecutar c\u00f3digo .NET y comandos de PowerShell recibidos del servidor, respectivamente.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1659643390_445_El-nuevo-malware-Woody-RAT-se-utiliza-para-atacar-a.jpg\" "\\"Software")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n