{"id":431638,"date":"2022-10-19T11:22:17","date_gmt":"2022-10-19T11:22:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-expertos-advierten-sobre-la-puerta-trasera-sigilosa-de-powershell-disfrazada-de-actualizacion-de-windows\/"},"modified":"2022-10-19T11:22:19","modified_gmt":"2022-10-19T11:22:19","slug":"los-expertos-advierten-sobre-la-puerta-trasera-sigilosa-de-powershell-disfrazada-de-actualizacion-de-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-expertos-advierten-sobre-la-puerta-trasera-sigilosa-de-powershell-disfrazada-de-actualizacion-de-windows\/","title":{"rendered":"Los expertos advierten sobre la puerta trasera sigilosa de PowerShell disfrazada de actualizaci\u00f3n de Windows"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Han surgido detalles sobre una puerta trasera de PowerShell previamente no documentada y totalmente indetectable (FUD) que gana su sigilo al disfrazarse como parte de un proceso de actualizaci\u00f3n de Windows.<\/p>\n

“La herramienta encubierta de desarrollo propio y los comandos C2 asociados parecen ser el trabajo de un actor de amenazas desconocido y sofisticado que se ha centrado en aproximadamente 100 v\u00edctimas”, Tomer Bar, director de investigaci\u00f3n de seguridad en SafeBreach, dijo<\/a> en un nuevo informe.<\/p>\n

Atribuido a un actor de amenazas sin nombre<\/a>las cadenas de ataque que involucran el malware comienzan con un arma Documento de Microsoft Word<\/a> que, seg\u00fan la empresa, se carg\u00f3 desde Jordania el 25 de agosto de 2022.<\/p>\n

\"La<\/a><\/div>\n

Los metadatos asociados con el documento se\u00f1uelo indican que el vector de intrusi\u00f3n inicial es un ataque de spear-phishing basado en LinkedIn, que en \u00faltima instancia conduce a la ejecuci\u00f3n de un script de PowerShell a trav\u00e9s de un c\u00f3digo de macro incrustado.<\/p>\n

\"Puerta<\/div>\n

La secuencia de comandos de PowerShell (Gui\u00f3n1.ps1<\/a>) est\u00e1 dise\u00f1ado para conectarse a un servidor remoto de comando y control (C2) y recuperar un comando para ejecutarlo en la m\u00e1quina comprometida por medio de un segundo script de PowerShell (temp.ps1<\/a>).<\/p>\n

Pero un error de seguridad operacional cometido por el actor al usar un identificador incremental trivial para identificar de manera \u00fanica a cada v\u00edctima (es decir, 0, 1, 2, etc.) permiti\u00f3 reconstruir los comandos emitidos por el servidor C2.<\/p>\n

\"La<\/a><\/div>\n

Algunos de los comandos notables emitidos consisten en filtrar la lista de procesos en ejecuci\u00f3n, enumerar archivos en carpetas espec\u00edficas, iniciar whoami y eliminar archivos en las carpetas p\u00fablicas de los usuarios.<\/p>\n

Al momento de escribir, 32 proveedores de seguridad y 18 motores antimalware marcan el documento se\u00f1uelo y los scripts de PowerShell como maliciosos, respectivamente.<\/p>\n

Los hallazgos se producen cuando Microsoft tom\u00f3 medidas para bloquear las macros de Excel 4.0 (XLM o XL4) y Visual Basic para aplicaciones (VBA) de forma predeterminada en todas las aplicaciones de Office, lo que llev\u00f3 a los actores de amenazas a cambiar a m\u00e9todos de entrega alternativos.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Han surgido detalles sobre una puerta trasera de PowerShell previamente no documentada y totalmente indetectable (FUD) que gana<\/p>\n","protected":false},"author":1,"featured_media":431639,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[2456,4657,4656,5894,4661,4664,56013,385,4662,4668,4667,36,4654,4658,4659,4653,4655,118220,4663,1732,4666,4665,90871,131,7157,4660,20385],"class_list":["post-431638","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizacion","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-advierten","tag-ataques-ciberneticos","tag-como-hackear","tag-disfrazada","tag-expertos","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-powershell","tag-programa-malicioso-ransomware","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sigilosa","tag-sobre","tag-trasera","tag-vulnerabilidad-de-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/431638","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=431638"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/431638\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/431639"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=431638"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=431638"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=431638"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}