{"id":769355,"date":"2023-05-23T21:25:12","date_gmt":"2023-05-23T21:25:12","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-malware-wintapix-sys-participa-en-un-ataque-de-varias-etapas-en-oriente-medio\/"},"modified":"2023-05-23T21:25:12","modified_gmt":"2023-05-23T21:25:12","slug":"el-nuevo-malware-wintapix-sys-participa-en-un-ataque-de-varias-etapas-en-oriente-medio","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-malware-wintapix-sys-participa-en-un-ataque-de-varias-etapas-en-oriente-medio\/","title":{"rendered":"El nuevo malware WinTapix.sys participa en un ataque de varias etapas en Oriente Medio"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad de punto final\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgAeQ_61JBbORKMBokahVovNpMcB5slT-YeAWh6wqOUEW0brzuJBWBCdi2wEeJdI6IFVIF7opoaw-yZP6a4Iw6DI87v8bmtidODiA-HUJC-PxNZGABGR8xMh-I9QGZydjQabEnkFtk2k6nKUpZtf237jibp4GjHzAZGkxKkVwb1FzcvVLc4n98sl4tQ\/s728-e3650\/01-wintapix-attributes.jpg\" alt=\"Malware WinTapix.sys\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Malware WinTapix.sys\"\/><\/div>\n<p>Se ha observado a un actor de amenazas desconocido aprovechando un controlador de kernel de Windows malicioso en ataques que probablemente apuntan a Oriente Medio desde al menos mayo de 2020.<\/p>\n<p>Fortinet Fortiguard Labs, que apod\u00f3 el artefacto <strong>WINTAPIX<\/strong> (WinTapix.sys), atribuy\u00f3 el malware con poca confianza a un actor de amenazas iran\u00ed.<\/p>\n<p>&#8220;WinTapix.sys es esencialmente un cargador&#8221;, los investigadores de seguridad Geri Revay y Hossein Jazi <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/wintapix-kernal-driver-middle-east-countries\" target=\"_blank\">dicho<\/a> en un informe publicado el lunes.  &#8220;Por lo tanto, su prop\u00f3sito principal es producir y ejecutar la siguiente etapa del ataque. Esto se hace usando un shellcode&#8221;.<\/p>\n<p>Las muestras y los datos de telemetr\u00eda analizados por Fortinet muestran que el enfoque principal de la campa\u00f1a est\u00e1 en Arabia Saudita, Jordania, Qatar y los Emiratos \u00c1rabes Unidos.  La actividad no se ha vinculado a un actor o grupo de amenazas conocido.<\/p>\n<p>Mediante el uso de un malicioso <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/gettingstarted\/user-mode-and-kernel-mode\" target=\"_blank\">modo n\u00facleo<\/a> controlador, la idea es subvertir o deshabilitar los mecanismos de seguridad y obtener acceso consolidado al host objetivo.<\/p>\n<p>Dichos controladores se ejecutan dentro del <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Kernel_(operating_system)\" target=\"_blank\">memoria del n\u00facleo<\/a> y puede, por lo tanto, realizar cualquier operaci\u00f3n, incluso <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2020\/02\/06\/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software\/\" target=\"_blank\">alterar los mecanismos cr\u00edticos de seguridad<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2021\/12\/13\/driver-based-attacks-past-and-present\/\" target=\"_blank\">ejecutando c\u00f3digo arbitrario<\/a> con los m\u00e1s altos privilegios.<\/p>\n<p>En otras palabras, ofrece una <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/01\/11\/signed-kernel-drivers-unguarded-gateway-windows-core\/\" target=\"_blank\">manera sigilosa<\/a> a <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_in\/research\/22\/l\/a-closer-look-at-windows-kernel-threats.html\" target=\"_blank\">infiltrarse m\u00e1s profundo<\/a> en el sistema de destino, mantener la persistencia y ejecutar <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyberark.com\/resources\/threat-research-blog\/fantastic-rootkits-and-where-to-find-them-part-2\" target=\"_blank\">cargas \u00fatiles adicionales<\/a> o comandos como parte del ataque de m\u00faltiples etapas del actor de amenazas.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/El-nuevo-malware-WinTapixsys-participa-en-un-ataque-de-varias.jpg\" alt=\"Malware WinTapix.sys\" border=\"0\" data-original-height=\"331\" data-original-width=\"728\" title=\"Malware WinTapix.sys\"\/><\/div>\n<p>Una medida de seguridad clave para mitigar los controladores maliciosos es Driver Signature Enforcement, que garantiza que solo los controladores firmados por Microsoft se puedan cargar en el sistema.  El gigante tecnol\u00f3gico tambi\u00e9n mantiene <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/threat-protection\/windows-defender-application-control\/microsoft-recommended-driver-block-rules\" target=\"_blank\">reglas de bloqueo del controlador<\/a> para proteger contra controladores vulnerables conocidos.<\/p>\n<p>WinTapix.sys, por otro lado, viene con una firma no v\u00e1lida, lo que indica que el autor de la amenaza primero tendr\u00e1 que cargar un controlador leg\u00edtimo pero vulnerable para iniciar WINTAPIX.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249, 251, 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217, 222, 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Pero una vez que se carga en el kernel, WinTapix.sys se configura para inyectar un shellcode incrustado en un proceso de modo de usuario adecuado que, a su vez, ejecuta una carga \u00fatil cifrada de .NET.<\/p>\n<p>WINTAPIX, adem\u00e1s de incrustar el shellcode creado usando el c\u00f3digo abierto <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/TheWover\/donut\" target=\"_blank\">proyecto de donas<\/a>establece persistencia a trav\u00e9s de modificaciones en el Registro de Windows que permite cargarlo incluso cuando la m\u00e1quina est\u00e1 arrancada <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-us\/windows\/start-your-pc-in-safe-mode-in-windows-92c27cff-db89-8644-1ce4-b3e5e56fe234\" target=\"_blank\">Modo seguro<\/a>.<\/p>\n<p>Por su parte, el malware .NET est\u00e1 equipado con funciones de puerta trasera y proxy para ejecutar comandos, descargar y cargar archivos y funcionar como un proxy para pasar datos entre dos puntos finales de comunicaci\u00f3n.<\/p>\n<p>&#8220;Dado que se sabe que los actores de amenazas iran\u00edes explotan los servidores de Exchange para implementar malware adicional, tambi\u00e9n es posible que este controlador se haya empleado junto con los ataques de Exchange&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Hasta ese punto, el tiempo de compilaci\u00f3n de los controladores tambi\u00e9n est\u00e1 alineado con los tiempos en que los actores de amenazas iran\u00edes estaban explotando las vulnerabilidades del servidor de Exchange&#8221;.<\/p>\n<p>El desarrollo se produce cuando se ha observado que el grupo de ransomware ALPHV (tambi\u00e9n conocido como BlackCat o Noberus) se aprovecha de un controlador malicioso firmado para afectar las defensas de seguridad y escapar de la detecci\u00f3n durante per\u00edodos prolongados.<\/p>\n<p>El controlador en cuesti\u00f3n, ktgn.sys, es una versi\u00f3n actualizada de POORTRY que se firma con un certificado de firma cruzada robado o filtrado, firma de ciberseguridad Trend Micro <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/e\/blackcat-ransomware-deploys-new-signed-kernel-driver.html\" target=\"_blank\">dicho<\/a> en un informe<\/p>\n<p>POORTRY es el nombre asignado a un controlador del kernel de Windows que viene con capacidades para terminar el software de seguridad.  A fines del a\u00f1o pasado, se revel\u00f3 que lo usaban bandas de ransomware y un actor de amenazas conocido como UNC3944 (tambi\u00e9n conocido como Roasted 0ktapus y Scattered Spider).<\/p>\n<p>&#8220;Los actores maliciosos que buscan activamente acceso de alto privilegio al sistema operativo Windows utilizan t\u00e9cnicas que intentan combatir la mayor protecci\u00f3n de los usuarios y procesos a trav\u00e9s de la plataforma de protecci\u00f3n de punto final (EPP) y las tecnolog\u00edas de detecci\u00f3n y respuesta de punto final (EDR)&#8221;, dijo Trend Micro. .<\/p>\n<p>&#8220;Estos actores maliciosos tambi\u00e9n tienden a poseer suficientes recursos financieros para comprar rootkits de fuentes clandestinas o comprar certificados de firma de c\u00f3digo para construir un rootkit&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/new-wintapixsys-malware-engages-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 de mayo de 2023\ue804Ravie Lakshman\u00e1nSeguridad de punto final\/malware Se ha observado a un actor de amenazas desconocido<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1247,4661,4664,47066,4662,4668,4667,4669,2508,4654,4658,4659,4653,4655,480,7999,13832,4663,4666,4665,8772,4660,164392],"class_list":["post-769355","post","type-post","status-publish","format-standard","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataque","tag-ataques-ciberneticos","tag-como-hackear","tag-etapas","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-medio","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-oriente","tag-participa","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-varias","tag-vulnerabilidad-de-software","tag-wintapix-sys"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/769355","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=769355"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/769355\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=769355"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=769355"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=769355"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}