{"id":601497,"date":"2023-01-31T16:30:30","date_gmt":"2023-01-31T16:30:30","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-descubren-packer-utilizado-por-varios-malware-para-evadir-la-deteccion-durante-6-anos\/"},"modified":"2023-01-31T16:30:32","modified_gmt":"2023-01-31T16:30:32","slug":"investigadores-descubren-packer-utilizado-por-varios-malware-para-evadir-la-deteccion-durante-6-anos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-descubren-packer-utilizado-por-varios-malware-para-evadir-la-deteccion-durante-6-anos\/","title":{"rendered":"Investigadores descubren Packer utilizado por varios malware para evadir la detecci\u00f3n durante 6 a\u00f1os"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>31 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Detecci\u00f3n de amenazas\/malware<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Un empaquetador basado en shellcode denominado TrickGate<\/strong> ha estado operando con \u00e9xito sin llamar la atenci\u00f3n durante m\u00e1s de seis a\u00f1os, al tiempo que permite a los actores de amenazas implementar una amplia gama de malware como TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze y REvil a lo largo de los a\u00f1os.<\/p>\n

“TrickGate logr\u00f3 pasar desapercibido durante a\u00f1os porque es transformador: sufre cambios peri\u00f3dicamente”, Arie Olshtein de Check Point Research. dicho<\/a>llam\u00e1ndolo un “maestro de los disfraces”.<\/p>\n

Ofrecido como un servicio a otros actores de amenazas desde al menos finales de 2016, TrickGate ayuda a ocultar las cargas \u00fatiles detr\u00e1s de una capa de c\u00f3digo contenedor en un intento de pasar las soluciones de seguridad instaladas en un host. Los empaquetadores tambi\u00e9n pueden funcionar como encriptadores al encriptar el malware como un mecanismo de ofuscaci\u00f3n.<\/p>\n

“Los empaquetadores tienen diferentes caracter\u00edsticas que les permiten eludir los mecanismos de detecci\u00f3n al aparecer como archivos benignos, ser dif\u00edciles de aplicar ingenier\u00eda inversa o incorporar t\u00e9cnicas de evasi\u00f3n de sandbox”, Proofpoint se\u00f1alado<\/a> en diciembre de 2020.<\/p>\n

Pero las actualizaciones frecuentes del empaquetador comercial como servicio significaron que TrickGate ha sido rastreado bajo varios nombres, como nuevo cargador<\/a>, Loncom<\/a>y Encriptador basado en NSIS<\/a> desde 2019.<\/p>\n

\"Detecci\u00f3n<\/div>\n

Los datos de telemetr\u00eda recopilados por Check Point indican que los actores de amenazas que aprovechan TrickGate se han centrado principalmente en el sector manufacturero y, en menor medida, en las verticales de educaci\u00f3n, atenci\u00f3n m\u00e9dica, gobierno y finanzas.<\/p>\n

Las familias de malware m\u00e1s populares utilizadas en los ataques de los \u00faltimos dos meses incluyen FormBook, LokiBot, Agent Tesla, Remcos y Nanocore, con concentraciones significativas reportadas en Taiw\u00e1n, Turqu\u00eda, Alemania, Rusia y China.<\/p>\n

La cadena de infecci\u00f3n implica el env\u00edo de correos electr\u00f3nicos de phishing con archivos adjuntos maliciosos o enlaces con trampas explosivas que conducen a la descarga de un cargador de shellcode que es responsable de descifrar y lanzar la carga real en la memoria.<\/p>\n

El an\u00e1lisis de la shellcode de la firma de ciberseguridad israel\u00ed muestra que “se ha actualizado constantemente, pero las funcionalidades principales existen en todas las muestras desde 2016”. Olshtein se\u00f1al\u00f3 que “el m\u00f3dulo de inyecci\u00f3n ha sido la parte m\u00e1s consistente a lo largo de los a\u00f1os y se ha observado en todos los c\u00f3digos de shell de TrickGate”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n