{"id":611955,"date":"2023-02-06T20:49:38","date_gmt":"2023-02-06T20:49:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-de-formbook-se-propaga-a-traves-de-la-publicidad-maliciosa-utilizando-malvirt-loader-para-evadir-la-deteccion\/"},"modified":"2023-02-06T20:49:39","modified_gmt":"2023-02-06T20:49:39","slug":"el-malware-de-formbook-se-propaga-a-traves-de-la-publicidad-maliciosa-utilizando-malvirt-loader-para-evadir-la-deteccion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-de-formbook-se-propaga-a-traves-de-la-publicidad-maliciosa-utilizando-malvirt-loader-para-evadir-la-deteccion\/","title":{"rendered":"El malware de FormBook se propaga a trav\u00e9s de la publicidad maliciosa utilizando MalVirt Loader para evadir la detecci\u00f3n"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 de febrero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Publicidad maliciosa \/ Seguridad de datos<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se est\u00e1 utilizando una campa\u00f1a de publicidad maliciosa en curso para distribuir cargadores .NET virtualizados que est\u00e1n dise\u00f1ados para implementar el malware de robo de informaci\u00f3n FormBook.<\/p>\n<p>&#8220;Los cargadores, denominados MalVirt, utilizan la virtualizaci\u00f3n ofuscada para evitar el an\u00e1lisis y la evasi\u00f3n junto con el controlador de Windows Process Explorer para finalizar los procesos&#8221;, los investigadores de SentinelOne, Aleksandar Milenkoski y Tom Hegel. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/malvirt-net-virtualization-thrives-in-malvertising-attacks\/\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico.<\/p>\n<p>El cambio a la publicidad maliciosa de Google es el ejemplo m\u00e1s reciente de c\u00f3mo los actores del software delictivo est\u00e1n dise\u00f1ando rutas de entrega alternativas para distribuir malware desde que Microsoft anunci\u00f3 planes para bloquear la ejecuci\u00f3n de macros en Office de forma predeterminada a partir de archivos descargados de Internet.<\/p>\n<p>La publicidad maliciosa implica colocar anuncios falsos en los motores de b\u00fasqueda con la esperanza de enga\u00f1ar a los usuarios que buscan software popular como Blender para que descarguen el software troyano.<\/p>\n<p>Los cargadores de MalVirt, que se implementan en .NET, utilizan el leg\u00edtimo <a rel=\"nofollow noopener\" href=\"https:\/\/ki-host.appspot.com\/KoiVM\" target=\"_blank\">KoiVM<\/a> protector de virtualizaci\u00f3n para aplicaciones .NET en un intento de ocultar su comportamiento y tienen la tarea de distribuir la familia de malware FormBook.<\/p>\n<p>Adem\u00e1s de incorporar t\u00e9cnicas antian\u00e1lisis y antidetecci\u00f3n para evadir la ejecuci\u00f3n dentro de una m\u00e1quina virtual o un entorno aislado de aplicaciones, se descubri\u00f3 que los cargadores emplean una versi\u00f3n modificada de KoiVM que incluye capas de ofuscaci\u00f3n adicionales para hacer que el desciframiento sea a\u00fan m\u00e1s desafiante. <\/p>\n<p>Los cargadores tambi\u00e9n implementan y cargan un Microsoft firmado <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sysinternals\/\" target=\"_blank\">Explorador de procesos<\/a> conductor con el objetivo de realizar acciones con permisos elevados.  Los privilegios, por ejemplo, pueden armarse para finalizar procesos asociados con el software de seguridad para evitar que se marquen.<\/p>\n<p>Tanto FormBook como su sucesor, XLoader, implementan una amplia gama de funcionalidades, como el registro de teclas, el robo de capturas de pantalla, la recolecci\u00f3n de credenciales web y de otro tipo, y la puesta en escena de malware adicional.<\/p>\n<p>Las cepas de malware tambi\u00e9n se destacan por camuflar su tr\u00e1fico de comando y control (C2) entre las solicitudes HTTP de cortina de humo con contenido codificado para m\u00faltiples dominios de se\u00f1uelo, como lo revelaron previamente Zscaler y Check Point el a\u00f1o pasado.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1675716578_818_El-malware-de-FormBook-se-propaga-a-traves-de-la.png\" alt=\"\" border=\"0\" data-original-height=\"508\" data-original-width=\"728\"\/><\/div>\n<p>&#8220;Como respuesta al bloqueo de Microsoft de las macros de Office de forma predeterminada en los documentos de Internet, los actores de amenazas han recurrido a m\u00e9todos alternativos de distribuci\u00f3n de malware, m\u00e1s recientemente, la publicidad maliciosa&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Los cargadores MalVirt [&#8230;] demostrar cu\u00e1nto esfuerzo est\u00e1n invirtiendo los actores de amenazas para evadir la detecci\u00f3n y frustrar el an\u00e1lisis&#8221;.<\/p>\n<p>Es pertinente que el m\u00e9todo ya est\u00e9 presenciando un <a rel=\"nofollow noopener\" href=\"https:\/\/labs.k7computing.com\/index.php\/information-stealers-going-incognito-on-google-ads\/\" target=\"_blank\">espiga<\/a> debido a su uso por parte de otros actores criminales para impulsar a los ladrones de IcedID, Raccoon, Rhadamanthys y Vidar en los \u00faltimos meses.<\/p>\n<p>&#8220;Es probable que un actor de amenazas haya comenzado a vender publicidad maliciosa como un servicio en la web oscura, y hay una gran demanda&#8221;, Abuse.ch <a rel=\"nofollow noopener\" href=\"https:\/\/www.spamhaus.com\/resource-center\/a-surge-of-malvertising-across-google-ads-is-distributing-dangerous-malware\/\" target=\"_blank\">dicho<\/a> en un <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/abuse_ch\/status\/1621416361858678786\" target=\"_blank\">informe<\/a>se\u00f1alando una posible raz\u00f3n de la &#8220;escalada&#8221;.<\/p>\n<p>Los hallazgos llegan dos meses despu\u00e9s de que K7 Security Labs, con sede en India <a rel=\"nofollow noopener\" href=\"https:\/\/labs.k7computing.com\/index.php\/koivm-loader-resurfaces-with-a-bang\/\" target=\"_blank\">detallado<\/a> una campa\u00f1a de phishing que aprovecha un cargador .NET para eliminar Remcos RAT y Agent Tesla por medio de un binario virtualizado KoiVM virtualizado.<\/p>\n<p>Sin embargo, no todo son anuncios maliciosos, ya que los adversarios tambi\u00e9n est\u00e1n experimentando con otros tipos de archivos como complementos de Excel (XLL) y archivos adjuntos de correo electr\u00f3nico de OneNote para escabullirse de los per\u00edmetros de seguridad.  Recientemente se une a esta lista el uso de complementos de Visual Studio Tools para Office (VSTO) como veh\u00edculo de ataque.<\/p>\n<p>&#8220;Los complementos de VSTO se pueden empaquetar junto con los documentos de Office (VSTO local) o, alternativamente, se pueden obtener desde una ubicaci\u00f3n remota cuando se abre un documento de Office con VSTO (VSTO remoto)&#8221;, Deep Instinct <a rel=\"nofollow noopener\" href=\"https:\/\/www.deepinstinct.com\/blog\/no-macro-no-worries-vsto-being-weaponized-by-threat-actors\" target=\"_blank\">revelado<\/a> la semana pasada.  &#8220;Esto, sin embargo, puede requerir eludir los mecanismos de seguridad relacionados con la confianza&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/formbook-malware-spreads-via.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 de febrero de 2023\ue804Ravie Lakshman\u00e1nPublicidad maliciosa \/ Seguridad de datos Se est\u00e1 utilizando una campa\u00f1a de publicidad<\/p>\n","protected":false},"author":1,"featured_media":611956,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,34790,28129,4662,144790,4668,4667,38610,11113,144791,4669,4654,4658,4659,4653,4655,18,4663,8342,9994,4666,4665,116,9413,4660],"class_list":["post-611955","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-deteccion","tag-evadir","tag-filtracion-de-datos","tag-formbook","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-loader","tag-maliciosa","tag-malvirt","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-programa-malicioso-ransomware","tag-propaga","tag-publicidad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-traves","tag-utilizando","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/611955","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=611955"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/611955\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/611956"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=611955"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=611955"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=611955"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}