{"id":646920,"date":"2023-02-27T22:15:47","date_gmt":"2023-02-27T22:15:47","guid":{"rendered":"https:\/\/teknomers.com\/es\/troyano-plugx-disfrazado-de-herramienta-legitima-de-depuracion-de-windows-en-los-ultimos-ataques\/"},"modified":"2023-02-27T22:15:47","modified_gmt":"2023-02-27T22:15:47","slug":"troyano-plugx-disfrazado-de-herramienta-legitima-de-depuracion-de-windows-en-los-ultimos-ataques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/troyano-plugx-disfrazado-de-herramienta-legitima-de-depuracion-de-windows-en-los-ultimos-ataques\/","title":{"rendered":"Troyano PlugX disfrazado de herramienta leg\u00edtima de depuraci\u00f3n de Windows en los \u00faltimos ataques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 de febrero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Malware\/ataque cibern\u00e9tico<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgw9G_A8t0Hm-JbSh3N8OOINj4q3DTeBAhfN1WXfpMr_xBtW5AnBiIeVLcqF1m1LZMuwmQOR2HrFx44tkgh7NPd1JvwWX4AgMpm8vzj_IM0dMU9JWH3SjKe-MpPLhdb7RivH4R6L-0lCqlkDH02QZa94GjgflijowfSbGCEqhjij37dMMMxRgX60FtO\/s728-e3650\/plugx.png\" alt=\"Troyano PlugX\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Troyano PlugX\"\/><\/div>\n<p>El <strong>EnchufeX<\/strong> Se ha observado que un troyano de acceso remoto se hace pasar por una herramienta de depuraci\u00f3n de Windows de c\u00f3digo abierto llamada x64dbg en un intento de eludir las protecciones de seguridad y obtener el control de un sistema de destino.<\/p>\n<p>&#8220;Este archivo es una herramienta leg\u00edtima de depuraci\u00f3n de c\u00f3digo abierto para Windows que generalmente se usa para examinar el c\u00f3digo en modo kernel y en modo usuario, los volcados de memoria o los registros de la CPU&#8221;, dijeron los investigadores de Trend Micro Buddy Tancio, Jed Valderama y Catherine Loveria. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/b\/investigating-the-plugx-trojan-disguised-as-a-legitimate-windows.html\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>PlugX, tambi\u00e9n conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/threat-analysis-report-plugx-rat-loader-evolution\" target=\"_blank\">Korplug<\/a>es una post-explotaci\u00f3n <a rel=\"nofollow noopener\" href=\"https:\/\/logrhythm.com\/blog\/deep-dive-into-plugx-malware\/\" target=\"_blank\">implante modular<\/a>que, entre otras cosas, es conocida por sus m\u00faltiples funcionalidades, como la exfiltraci\u00f3n de datos y su capacidad para utilizar la m\u00e1quina comprometida con fines nefastos.<\/p>\n<p>Aunque se document\u00f3 por primera vez hace una d\u00e9cada en 2012, las primeras muestras del malware datan de febrero de 2008, seg\u00fan un <a rel=\"nofollow noopener\" href=\"https:\/\/web.archive.org\/web\/20121026140131\/https:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/plugx-new-tool-for-a-not-so-new-campaign\/\" target=\"_blank\">Informe de Trend Micro<\/a> En el momento.  A lo largo de los a\u00f1os, PlugX ha sido utilizado por actores de amenazas con un nexo chino, as\u00ed como por grupos de ciberdelincuencia.<\/p>\n<p>Uno de los m\u00e9todos clave que emplea el malware es una t\u00e9cnica <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Carga lateral de DLL<\/a> para cargar un <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/threat-analysis-report-dll-side-loading-widely-abused\" target=\"_blank\">DLL malicioso<\/a> desde una aplicaci\u00f3n de software firmada digitalmente, en este caso el <a rel=\"nofollow noopener\" href=\"https:\/\/x64dbg.com\/\" target=\"_blank\">x64dbg<\/a> herramienta de depuraci\u00f3n (x32dbg.exe).<\/p>\n<p>Vale la pena se\u00f1alar aqu\u00ed que los ataques de carga lateral de DLL aprovechan el <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/dlls\/dynamic-link-library-search-order\" target=\"_blank\">Mecanismo de orden de b\u00fasqueda de DLL<\/a> en Windows para plantar y luego invocar una aplicaci\u00f3n leg\u00edtima que ejecuta una carga maliciosa.<\/p>\n<p>&#8220;Al ser una aplicaci\u00f3n leg\u00edtima, la firma digital v\u00e1lida de x32dbg.exe puede confundir algunas herramientas de seguridad, lo que permite a los actores de amenazas pasar desapercibidos, mantener la persistencia, aumentar los privilegios y eludir las restricciones de ejecuci\u00f3n de archivos&#8221;, dijeron los investigadores.<\/p>\n<p>El secuestro de x64dbg para cargar PlugX fue revelado el mes pasado por la Unidad 42 de Palo Alto Networks, que descubri\u00f3 una nueva variante del malware que oculta archivos maliciosos en dispositivos USB extra\u00edbles para propagar la infecci\u00f3n a otros hosts de Windows.<\/p>\n<p>La persistencia se logra a trav\u00e9s de modificaciones en el Registro de Windows y la creaci\u00f3n de tareas programadas para garantizar el acceso continuo incluso despu\u00e9s de reiniciar el sistema.<\/p>\n<p>El an\u00e1lisis de Trend Micro de la cadena de ataques tambi\u00e9n revel\u00f3 el uso de x32dbg.exe para implementar una puerta trasera, un cliente de shell UDP que recopila informaci\u00f3n del sistema y espera instrucciones adicionales de un servidor remoto.<\/p>\n<p>&#8220;A pesar de los avances en la tecnolog\u00eda de seguridad, los atacantes contin\u00faan usando [DLL side-loading] ya que explota una confianza fundamental en las aplicaciones leg\u00edtimas&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Esta t\u00e9cnica seguir\u00e1 siendo viable para que los atacantes entreguen malware y obtengan acceso a informaci\u00f3n confidencial siempre que los sistemas y las aplicaciones contin\u00faen confiando y cargando bibliotecas din\u00e1micas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/plugx-trojan-disguised-as-legitimate.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 de febrero de 2023\ue804Ravie Lakshman\u00e1nMalware\/ataque cibern\u00e9tico El EnchufeX Se ha observado que un troyano de acceso remoto<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,4664,29606,8847,4662,1086,4668,4667,79991,36,4654,4658,4659,4653,4655,56568,4663,4666,4665,8665,1426,4660,20385],"class_list":["post-646920","post","type-post","status-publish","format-standard","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-depuracion","tag-disfrazado","tag-filtracion-de-datos","tag-herramienta","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-legitima","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-plugx","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-troyano","tag-ultimos","tag-vulnerabilidad-de-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/646920","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=646920"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/646920\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=646920"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=646920"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=646920"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}