Los actores de amenazas detr\u00e1s de la operaci\u00f3n de ransomware CatB han sido observados usando una t\u00e9cnica llamada Secuestro de orden de b\u00fasqueda de DLL<\/a> para evadir la detecci\u00f3n y lanzar la carga \u00fatil.<\/p>\n CatB, tambi\u00e9n conocido como CatB99 y Baxtoy, surgi\u00f3 a fines del a\u00f1o pasado y se dice que es una “evoluci\u00f3n o cambio de marca directo” de otra cepa de ransomware conocida como Pandora basada en similitudes a nivel de c\u00f3digo.<\/p>\n Vale la pena se\u00f1alar que el uso de Pandora se ha atribuido a Bronze Starlight (tambi\u00e9n conocido como DEV-0401 o Emperor Dragonfly), un actor de amenazas con sede en China que se sabe que emplea familias de ransomware de corta duraci\u00f3n como una artima\u00f1a para ocultar sus verdaderos objetivos. <\/p>\n Una de las caracter\u00edsticas clave que definen a CatB es su dependencia del secuestro de DLL a trav\u00e9s de un servicio leg\u00edtimo llamado Coordinador de transacciones distribuidas de Microsoft (MSDTC<\/a>) para extraer e iniciar la carga \u00fatil del ransomware.<\/p>\n “Despu\u00e9s de la ejecuci\u00f3n, las cargas \u00fatiles de CatB se basan en el secuestro de \u00f3rdenes de b\u00fasqueda de DLL para colocar y cargar la carga \u00fatil maliciosa”, dijo Jim Walter, investigador de SentinelOne. dicho<\/a> en un informe publicado la semana pasada. “El cuentagotas (versions.dll) suelta la carga \u00fatil (oci.dll) en el directorio System32”.<\/p>\n El cuentagotas tambi\u00e9n es responsable de realizar comprobaciones antian\u00e1lisis para determinar si el malware se est\u00e1 ejecutando dentro de un entorno virtual y, en \u00faltima instancia, abusar del servicio MSDTC para inyectar el oci.dll falso que contiene el ransomware en el ejecutable msdtc.exe al reiniciar el sistema. .<\/p>\n “El [MSDTC] Las configuraciones modificadas son el nombre de la cuenta con la que se debe ejecutar el servicio, que se cambia de Servicio de red a Sistema local, y la opci\u00f3n de inicio del servicio, que se cambia de Inicio por demanda a Inicio autom\u00e1tico para la persistencia si se produce un reinicio”, Minerva Labs investigadora Natalie Zargarov explicado<\/a> en un an\u00e1lisis anterior.<\/p>\n Un aspecto llamativo del ransomware es la ausencia de una nota de rescate. En cambio, cada archivo encriptado se actualiza con un mensaje que insta a las v\u00edctimas a realizar un pago de Bitcoin.<\/p>\n Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n \u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n![\"ransomware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1679337869_493_Los-investigadores-arrojan-luz-sobre-las-tecnicas-de-evasion-del.png\" "\\"ransomware")
<\/div>\n
![\"ransomware](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhT_3-sAA17UUdvsMtFw--uqQfLRDCyNblQCn90g0t26p85BGja2ZxKE5ACVBlUkAoBW2l8dQdDkQkgYblV4kDnEERxfYOYol25vLNTMlwXAchxzNWM4sZXHBnS-eHSoictrQrum3yJree4WIqVwO2hf3LpS-eNznDLXPm2sw2jvlEAuXcagA5NiqfM\/s728-e3650\/note.png\" "\\"ransomware")
<\/div>\n