{"id":694180,"date":"2023-04-05T13:46:43","date_gmt":"2023-04-05T13:46:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-utilizan-archivos-autoextraibles-para-ataques-sigilosos-de-puerta-trasera\/"},"modified":"2023-04-05T13:46:46","modified_gmt":"2023-04-05T13:46:46","slug":"los-piratas-informaticos-utilizan-archivos-autoextraibles-para-ataques-sigilosos-de-puerta-trasera","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-utilizan-archivos-autoextraibles-para-ataques-sigilosos-de-puerta-trasera\/","title":{"rendered":"Los piratas inform\u00e1ticos utilizan archivos autoextra\u00edbles para ataques sigilosos de puerta trasera"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 de abril de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad de punto final\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un actor de amenazas desconocido us\u00f3 un archivo autoextra\u00edble malicioso (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Self-extracting_archive\" target=\"_blank\">SFX<\/a>) en un intento de establecer un acceso persistente de puerta trasera al entorno de una v\u00edctima, seg\u00fan muestran los nuevos hallazgos de CrowdStrike.<\/p>\n<p>Los archivos SFX son capaces de extraer los datos contenidos en ellos sin la necesidad de un software dedicado para mostrar el contenido del archivo.  Lo logra al incluir un c\u00f3digo auxiliar de descompresor, una pieza de c\u00f3digo que se ejecuta para desempaquetar el archivo.<\/p>\n<p>&#8220;Sin embargo, los archivos de almacenamiento SFX tambi\u00e9n pueden contener funciones maliciosas ocultas que pueden no ser visibles de inmediato para el destinatario del archivo y podr\u00edan pasar desapercibidas solo con detecciones basadas en tecnolog\u00eda&#8221;, dijo Jai Minton, investigador de CrowdStrike. <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/self-extracting-archives-decoy-files-and-their-hidden-payloads\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>En el caso investigado por la firma de seguridad cibern\u00e9tica, las credenciales comprometidas de un sistema se usaron para ejecutar una aplicaci\u00f3n leg\u00edtima de accesibilidad de Windows llamada Utility Manager (utilman.exe) y, posteriormente, iniciar un archivo SFX protegido con contrase\u00f1a.<\/p>\n<p>Esto, a su vez, es posible gracias a <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1546\/012\/\" target=\"_blank\">configurar un programa depurador<\/a> (otro ejecutable) en el Registro de Windows a un programa espec\u00edfico (en este caso, utilman.exe) para que el depurador se inicie autom\u00e1ticamente cada vez que se inicie el programa.<\/p>\n<p>El abuso de utilman.exe tambi\u00e9n es digno de menci\u00f3n, ya que puede ser <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1546\/008\/\" target=\"_blank\">lanzado directamente<\/a> desde la pantalla de inicio de sesi\u00f3n de Windows usando el <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-us\/windows\/keyboard-shortcuts-in-windows-dcc61a57-8ff0-cffe-9796-cb9706c75eec\" target=\"_blank\">Tecla del logotipo de Windows + m\u00e9todo abreviado de teclado U<\/a>lo que potencialmente permite a los actores de amenazas configurar puertas traseras a trav\u00e9s de la clave del Registro de opciones de ejecuci\u00f3n de archivos de imagen.<\/p>\n<p>&#8220;Una inspecci\u00f3n m\u00e1s cercana del archivo SFX revel\u00f3 que funciona como una puerta trasera protegida por contrase\u00f1a al abusar de las opciones de configuraci\u00f3n de WinRAR en lugar de contener malware&#8221;, explic\u00f3 Minton. <\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1680702403_336_Los-piratas-informaticos-utilizan-archivos-autoextraibles-para-ataques-sigilosos-de.png\" alt=\"Archivos autoextra\u00edbles\" border=\"0\" data-original-height=\"468\" data-original-width=\"728\" title=\"Archivos autoextra\u00edbles\" \/><\/div>\n<p>Espec\u00edficamente, el archivo est\u00e1 dise\u00f1ado para ejecutar PowerShell (powershell.exe), S\u00edmbolo del sistema (cmd.exe) y Administrador de tareas (taskmgr.exe) con privilegios NT AUTHORITYSYSTEM proporcionando la contrase\u00f1a correcta para el archivo.<\/p>\n<p>&#8220;Es probable que este tipo de ataque no sea detectado por el software antivirus tradicional que busca malware dentro de un archivo (que a menudo tambi\u00e9n est\u00e1 protegido con contrase\u00f1a) en lugar del comportamiento de un descompresor de archivo SFX&#8221;, agreg\u00f3 Minton.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;padding: 0px 5%;border-radius: 10px;text-align: left;border-top-left-radius: 50px;border-bottom-right-radius: 50px\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a proteger el per\u00edmetro de identidad: estrategias comprobadas<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d\">Mejore la seguridad de su empresa con nuestro pr\u00f3ximo seminario web sobre ciberseguridad dirigido por expertos: \u00a1Explore las estrategias del per\u00edmetro de identidad!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/identity-perimeter?source=inside2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;float:left;font-weight:500;letter-spacing: 0.2px\">No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n<p>Esta no es la primera vez que los archivos SFX se emplean en ataques como un medio para que los atacantes pasen desapercibidos.  En septiembre de 2022, Kaspersky revel\u00f3 una campa\u00f1a de malware que utilizaba enlaces a dichos archivos protegidos con contrase\u00f1a para <a rel=\"nofollow noopener\" href=\"https:\/\/securityscorecard.com\/research\/detailed-analysis-redline-stealer\/\" target=\"_blank\">propagar<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/c\/managed-xdr-exposes-spear-phishing-campaign-targeting-hospitalit.html\" target=\"_blank\">Ladr\u00f3n de l\u00ednea roja<\/a>.<\/p>\n<p>Un mes despu\u00e9s, se observ\u00f3 que la infame botnet Emotet enviaba un archivo SFX que, una vez abierto por un usuario, extra\u00eda autom\u00e1ticamente un segundo archivo SFX protegido con contrase\u00f1a, ingresaba la contrase\u00f1a y ejecutaba su contenido sin m\u00e1s interacci\u00f3n del usuario mediante un script por lotes. .<\/p>\n<p>Para mitigar las amenazas planteadas por este vector de ataque, se recomienda que los archivos SFX se analicen a trav\u00e9s de un software de desarchivado para identificar posibles scripts o archivos binarios que est\u00e9n configurados para extraerse y ejecutarse al momento de la ejecuci\u00f3n.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/hackers-using-self-extracting-archives.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 de abril de 2023\ue804Ravie Lakshman\u00e1nSeguridad de punto final\/malware Un actor de amenazas desconocido us\u00f3 un archivo autoextra\u00edble<\/p>\n","protected":false},"author":1,"featured_media":694181,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1497,2346,4661,155199,4664,4662,6214,4668,4667,36,4654,4658,4659,4653,4655,18,6213,4663,1732,4666,4665,115215,7157,10365,4660],"class_list":["post-694180","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-archivos","tag-ataques","tag-ataques-ciberneticos","tag-autoextraibles","tag-como-hackear","tag-filtracion-de-datos","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-piratas","tag-programa-malicioso-ransomware","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sigilosos","tag-trasera","tag-utilizan","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/694180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=694180"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/694180\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/694181"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=694180"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=694180"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=694180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}