{"id":695001,"date":"2023-04-05T23:57:37","date_gmt":"2023-04-05T23:57:37","guid":{"rendered":"https:\/\/teknomers.com\/es\/stealthy-dbatloader-malware-loader-difunde-remcos-rat-y-formbook-en-europa\/"},"modified":"2023-04-05T23:57:40","modified_gmt":"2023-04-05T23:57:40","slug":"stealthy-dbatloader-malware-loader-difunde-remcos-rat-y-formbook-en-europa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/stealthy-dbatloader-malware-loader-difunde-remcos-rat-y-formbook-en-europa\/","title":{"rendered":"Stealthy DBatLoader Malware Loader Difunde Remcos RAT y Formbook en Europa"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 de marzo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Ataque de malware \/ pirater\u00eda<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Una nueva campa\u00f1a de phishing ha puesto su mirada en las entidades europeas para distribuir Remcos RAT y Formbook a trav\u00e9s de un cargador de malware denominado <strong>DBBatLoader<\/strong>.<\/p>\n<p>&#8220;La carga de malware se distribuye a trav\u00e9s de sitios web de WordPress que tienen certificados SSL autorizados, que es una t\u00e1ctica com\u00fan utilizada por los actores de amenazas para evadir los motores de detecci\u00f3n&#8221;, los investigadores de Zscaler Meghraj Nandanwar y Satyam Singh. <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/dbatloader-actively-distributing-malwares-targeting-european-businesses\" target=\"_blank\">dicho<\/a> en un informe publicado el lunes.<\/p>\n<p>Los hallazgos se basan en un <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/blog\/dbatloader-and-remcos-rat-sweep-eastern-europe\/\" target=\"_blank\">informe anterior<\/a> de SentinelOne el mes pasado que detallaba correos electr\u00f3nicos de phishing que conten\u00edan archivos adjuntos maliciosos que se hacen pasar por documentos financieros para activar la cadena de infecci\u00f3n.<\/p>\n<p>Algunos de los formatos de archivo utilizados para distribuir la carga \u00fatil de DBatLoader se refieren al uso de un archivo HTML ofuscado de varias capas y archivos adjuntos de OneNote.<\/p>\n<p>El desarrollo se suma a <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/onenote-growing-threat-malware-distribution\" target=\"_blank\">creciente abuso<\/a> de los archivos de OneNote como vector inicial para la distribuci\u00f3n de malware desde finales del a\u00f1o pasado en respuesta a la decisi\u00f3n de Microsoft de bloquear las macros por defecto en los archivos descargados de Internet.<\/p>\n<p>DBatLoader, tambi\u00e9n llamado ModiLoader y NatsoLoader, es un malware basado en Delphi que es capaz de entregar cargas \u00fatiles de seguimiento desde servicios en la nube como Google Drive y Microsoft OneDrive, al mismo tiempo que adopta t\u00e9cnicas de esteganograf\u00eda de im\u00e1genes para evadir los motores de detecci\u00f3n.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1680739057_148_Stealthy-DBatLoader-Malware-Loader-Difunde-Remcos-RAT-y-Formbook-en.png\" alt=\"Software malicioso DBatLoader\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" title=\"Software malicioso DBatLoader\" \/><\/div>\n<p>Un aspecto notable del ataque es la <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/tenable-techblog\/uac-bypass-by-mocking-trusted-directories-24a96675f6e\" target=\"_blank\">uso de<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/daniels-it-blog.blogspot.com\/2020\/07\/uac-bypass-via-dll-hijacking-and-mock.html\" target=\"_blank\">directorios de confianza simulados<\/a> como &#8220;C:WindowsSystem32&#8221; (tenga en cuenta el espacio final despu\u00e9s de Windows) para omitir el Control de cuentas de usuario (<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1548\/002\/\" target=\"_blank\">UAC<\/a>) y escalar privilegios.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;padding: 0px 5%;border-radius: 10px;text-align: left;border-top-left-radius: 50px;border-bottom-right-radius: 50px\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a proteger el per\u00edmetro de identidad: estrategias comprobadas<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d\">Mejore la seguridad de su empresa con nuestro pr\u00f3ximo seminario web sobre ciberseguridad dirigido por expertos: \u00a1Explore las estrategias del per\u00edmetro de identidad!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/identity-perimeter?source=inside2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;float:left;font-weight:500;letter-spacing: 0.2px\">No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n<p>Una advertencia aqu\u00ed es que los directorios no se pueden crear directamente desde la interfaz de usuario del Explorador de Windows, sino que requieren que el atacante conf\u00ede en un script para realizar la tarea y copie en la carpeta una DLL no autorizada y un ejecutable leg\u00edtimo (easinvoker.exe) que es vulnerable al secuestro de DLL para cargar la carga \u00fatil de DLL.<\/p>\n<p>Esto permite a los atacantes realizar actividades elevadas sin alertar a los usuarios, lo que incluye establecer la persistencia y agregar el directorio &#8220;C:Users&#8221; a la lista de exclusi\u00f3n de Microsoft Defender para evitar que se analice.<\/p>\n<p>Para mitigar los riesgos que presenta DBatLoader, se recomienda monitorear las ejecuciones de procesos que involucran rutas del sistema de archivos con espacios finales y considerar configurar Windows UAC para <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/identity-protection\/user-account-control\/how-user-account-control-works#:~:text=Check%20UAC%20slider%20level\" target=\"_blank\">Siempre avisar<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/03\/stealthy-dbatloader-malware-loader.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 de marzo de 2023\ue804Ravie Lakshman\u00e1nAtaque de malware \/ pirater\u00eda Una nueva campa\u00f1a de phishing ha puesto su<\/p>\n","protected":false},"author":1,"featured_media":695002,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,155292,58591,348,4662,144790,4668,4667,38610,4669,4654,4658,4659,4653,4655,4663,63637,145130,4666,4665,155291,4660],"class_list":["post-695001","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-dbatloader","tag-difunde","tag-europa","tag-filtracion-de-datos","tag-formbook","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-loader","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-rat","tag-remcos","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-stealthy","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/695001","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=695001"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/695001\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/695002"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=695001"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=695001"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=695001"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}