{"id":598198,"date":"2023-01-29T08:35:42","date_gmt":"2023-01-29T08:35:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/gootkit-malware-continua-evolucionando-con-nuevos-componentes-y-ofuscaciones\/"},"modified":"2023-01-29T08:35:44","modified_gmt":"2023-01-29T08:35:44","slug":"gootkit-malware-continua-evolucionando-con-nuevos-componentes-y-ofuscaciones","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/gootkit-malware-continua-evolucionando-con-nuevos-componentes-y-ofuscaciones\/","title":{"rendered":"Gootkit Malware contin\u00faa evolucionando con nuevos componentes y ofuscaciones"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Amenaza Cibern\u00e9tica \/ Malware<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los actores de amenazas asociados con el malware Gootkit han realizado “cambios notables” en su conjunto de herramientas, agregando nuevos componentes y ofuscaciones a sus cadenas de infecci\u00f3n.<\/p>\n

Mandiant, propiedad de Google, es supervisi\u00f3n<\/a> el grupo de actividades bajo el nombre UNC2565<\/strong>se\u00f1alando que el uso del malware es “exclusivo de este grupo”.<\/p>\n

Gootkit, tambi\u00e9n llamado Gootloader, se propaga a trav\u00e9s de sitios web comprometidos que se enga\u00f1a a las v\u00edctimas para que visiten cuando buscan documentos relacionados con negocios, como acuerdos y contratos, a trav\u00e9s de una t\u00e9cnica llamada envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO).<\/p>\n

Los supuestos documentos adoptan la forma de archivos ZIP que albergan el malware de JavaScript que, cuando se inicia, allana el camino para cargas adicionales como Cobalt Strike Beacon, FONELAUNCH y SNOWCONE.<\/p>\n

FONELAUNCH es un cargador basado en .NET dise\u00f1ado para cargar una carga \u00fatil codificada en la memoria, y SNOWCONE es un descargador que tiene la tarea de recuperar cargas \u00fatiles de la pr\u00f3xima etapa, generalmente IcedID, a trav\u00e9s de HTTP.<\/p>\n

\"Software<\/div>\n

Si bien los objetivos generales de Gootkit no han cambiado, la secuencia de ataque en s\u00ed misma ha recibido actualizaciones significativas, en las que el archivo JavaScript dentro del archivo ZIP est\u00e1 troyanizado y contiene otro archivo JavaScript ofuscado que, en consecuencia, procede a ejecutar el malware.<\/p>\n

\"Software<\/div>\n

La nueva variante, que fue detectada por la firma de inteligencia de amenazas en noviembre de 2022, se rastrea como GOOTLOADER.POWERSHELL. Vale la pena se\u00f1alar que la cadena de infecci\u00f3n renovada tambi\u00e9n fue documentada por Trend Micro a principios de este mes, detallando los ataques de Gootkit dirigidos al sector de la salud australiano.<\/p>\n

Adem\u00e1s, se dice que los autores del malware adoptaron tres enfoques diferentes para ocultar Gootkit, incluido el ocultamiento del c\u00f3digo dentro de versiones alteradas de bibliotecas JavaScript leg\u00edtimas como jQuery, Chroma.js y Underscore.js, en un intento de escapar de la detecci\u00f3n.<\/p>\n

No se trata solo de Gootkit, ya que UNC2565 ha utilizado tres sabores diferentes de FONELAUNCH (FONELAUNCH.FAX, FONELAUNCH.PHONE y FONELAUNCH.DIALTONE) desde mayo de 2021 para ejecutar archivos DLL, binarios .NET y archivos PE, lo que indica que el El arsenal de malware se mantiene y actualiza continuamente.<\/p>\n

“Estos cambios ilustran el desarrollo activo y el crecimiento de las capacidades de UNC2565”, dijeron los investigadores de Mandiant, Govand Sinjari y Andy Morales.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n