{"id":818558,"date":"2023-06-22T17:16:36","date_gmt":"2023-06-22T17:16:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-campana-multistorm-se-dirige-a-india-y-ee-uu-con-troyanos-de-acceso-remoto\/"},"modified":"2023-06-22T17:16:42","modified_gmt":"2023-06-22T17:16:42","slug":"la-campana-multistorm-se-dirige-a-india-y-ee-uu-con-troyanos-de-acceso-remoto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-campana-multistorm-se-dirige-a-india-y-ee-uu-con-troyanos-de-acceso-remoto\/","title":{"rendered":"La campa\u00f1a MULTI#STORM se dirige a India y EE. UU. con troyanos de acceso remoto"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 de junio de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Ciberataque \/ Phishing<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Una nueva campa\u00f1a de phishing con nombre en c\u00f3digo MULTI#TORMENTA<\/strong> ha puesto sus miras en India y EE. UU. aprovechando archivos JavaScript para entregar troyanos de acceso remoto en sistemas comprometidos.<\/p>\n

“La cadena de ataque termina con la m\u00e1quina v\u00edctima infectada con m\u00faltiples instancias \u00fanicas de malware RAT (troyano de acceso remoto), como Warzone RAT y Quasar RAT”, los investigadores de Securonix Den Iuzvyk, Tim Peck y Oleg Kolesnikov. dicho<\/a>.<\/p>\n

“Ambos se usan para comando y control durante diferentes etapas de la cadena de infecci\u00f3n”.<\/p>\n

La cadena de ataque de varias etapas comienza cuando un destinatario de correo electr\u00f3nico hace clic en el enlace incrustado que apunta a un archivo ZIP protegido con contrase\u00f1a (“REQUEST.zip”) alojado en Microsoft OneDrive con la contrase\u00f1a “12345”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Al extraer el archivo, se revela un archivo JavaScript muy ofuscado (“REQUEST.js”) que, cuando se hace doble clic, activa la infecci\u00f3n al ejecutar dos comandos de PowerShell que son responsables de recuperar dos cargas \u00fatiles separadas de OneDrive y ejecutarlas.<\/p>\n

El primero de los dos archivos es un documento PDF se\u00f1uelo que se muestra a la v\u00edctima, mientras que el segundo archivo, un ejecutable basado en Python, se ejecuta sigilosamente en segundo plano.<\/p>\n

El binario act\u00faa como un cuentagotas para extraer y ejecutar la carga principal empaquetada en su interior en forma de cadenas codificadas en Base64 (“Storm.exe”), pero no antes de configurar la persistencia a trav\u00e9s de la modificaci\u00f3n del Registro de Windows.<\/p>\n

El binario tambi\u00e9n decodifica un segundo archivo ZIP (“files.zip”) que contiene cuatro archivos diferentes, cada uno de los cuales est\u00e1 dise\u00f1ado para eludir el Control de cuentas de usuario (UAC<\/a>) y aumentar los privilegios mediante la creaci\u00f3n de directorios ficticios de confianza.<\/p>\n

\"Troyanos<\/div>\n

Entre los archivos hay un archivo por lotes (“check.bat”) que, seg\u00fan Securonix, comparte varios puntos en com\u00fan con otro cargador llamado DBatLoader a pesar de la diferencia en el lenguaje de programaci\u00f3n utilizado.<\/p>\n

Un segundo archivo llamado “KDECO.bat” ejecuta un comando de PowerShell para indicar a Microsoft Defender que agregue un regla de exclusi\u00f3n antivirus<\/a> para omitir el directorio “C:Users”.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

\ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n

Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n

\u00danase a la sesi\u00f3n<\/a><\/div>\n

El ataque culmina con la implementaci\u00f3n de Warzone RAT (tambi\u00e9n conocido como Ave Maria), un malware listo para usar que est\u00e1 disponible para la venta por $ 38 por mes y viene con una lista exhaustiva de funciones para recopilar datos confidenciales y descargar malware adicional como Quasar RAT .<\/p>\n

“Es importante permanecer m\u00e1s alerta cuando se trata de correos electr\u00f3nicos de phishing, especialmente cuando se enfatiza un sentido de urgencia”, dijeron los investigadores.<\/p>\n

“Este se\u00f1uelo en particular generalmente no era notable, ya que requerir\u00eda que el usuario ejecutara un archivo JavaScript directamente. Los archivos de acceso directo o los archivos que usan extensiones dobles probablemente tendr\u00edan una tasa de \u00e9xito m\u00e1s alta”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n