{"id":851098,"date":"2023-07-12T19:46:01","date_gmt":"2023-07-12T19:46:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-chinos-implementan-rootkit-firmado-por-microsoft-para-apuntar-al-sector-de-juegos\/"},"modified":"2023-07-12T19:46:04","modified_gmt":"2023-07-12T19:46:04","slug":"hackers-chinos-implementan-rootkit-firmado-por-microsoft-para-apuntar-al-sector-de-juegos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-chinos-implementan-rootkit-firmado-por-microsoft-para-apuntar-al-sector-de-juegos\/","title":{"rendered":"Hackers chinos implementan rootkit firmado por Microsoft para apuntar al sector de juegos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Ciberamenaza \/ Juegos<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los investigadores de ciberseguridad han descubierto un novedoso rootkit firmado por Microsoft que est\u00e1 dise\u00f1ado para comunicarse con una infraestructura de ataque controlada por un actor.<\/p>\n<p>Trend Micro ha atribuido el grupo de actividad al mismo actor que se identific\u00f3 previamente como responsable del rootkit FiveSys, que sali\u00f3 a la luz en octubre de 2021.<\/p>\n<p>&#8220;Este actor malicioso se origina en China y sus principales v\u00edctimas son el sector de los juegos en China&#8221;, Mahmoud Zohdy, Sherif Magdy y Mohamed Fahmy de Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/g\/hunting-for-a-new-stealthy-universal-rootkit-loader.html\" target=\"_blank\">dicho<\/a>.  Su malware parece haber pasado por los laboratorios de calidad de hardware de Windows (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/install\/whql-test-signature-program\" target=\"_blank\">WHQL<\/a>) proceso para obtener una firma v\u00e1lida.<\/p>\n<p>Se han descubierto m\u00faltiples variantes del rootkit que abarcan ocho cl\u00fasteres diferentes, con 75 de estos controladores firmados con el programa WHQL de Microsoft en 2022 y 2023.<\/p>\n<p>El an\u00e1lisis de Trend Micro de algunas de las muestras ha revelado la presencia de mensajes de depuraci\u00f3n en el c\u00f3digo fuente, lo que indica que la operaci\u00f3n a\u00fan se encuentra en la fase de desarrollo y prueba.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>En pasos posteriores, el controlador de la primera etapa desactiva el Control de cuentas de usuario (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/application-security\/application-control\/user-account-control\/how-it-works\" target=\"_blank\">UAC<\/a>) y <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/threat-protection\/security-policy-settings\/user-account-control-switch-to-the-secure-desktop-when-prompting-for-elevation\" target=\"_blank\">Modo de escritorio seguro<\/a> editando el registro e inicializando Winsock Kernel (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/network\/introduction-to-winsock-kernel\" target=\"_blank\">WSK<\/a>) objetos para iniciar la comunicaci\u00f3n de red con el servidor remoto.<\/p>\n<p>Adem\u00e1s, sondea peri\u00f3dicamente el servidor para recuperar m\u00e1s cargas \u00fatiles y cargarlas directamente en la memoria despu\u00e9s de decodificar y descifrar los datos recibidos, funcionando efectivamente como un cargador de controladores de kernel sigiloso que puede eludir las detecciones.<\/p>\n<p>&#8220;El binario principal act\u00faa como un cargador universal que permite a los atacantes cargar directamente un m\u00f3dulo de kernel sin firmar de segunda etapa&#8221;, explicaron los investigadores.  &#8220;Cada complemento de la segunda etapa se personaliza para la m\u00e1quina v\u00edctima en la que se implementa, y algunos contienen incluso un controlador compilado personalizado para cada m\u00e1quina. Cada complemento tiene un conjunto espec\u00edfico de acciones que se llevar\u00e1n a cabo desde el espacio del kernel&#8221;.<\/p>\n<p>Los complementos, por su parte, vienen con diferentes capacidades para lograr persistencia, desarmar Microsoft Defender Antivirus e implementar un proxy en la m\u00e1quina y redirigir el tr\u00e1fico de navegaci\u00f3n web a un servidor proxy remoto.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1689191161_129_Hackers-chinos-implementan-rootkit-firmado-por-Microsoft-para-apuntar-al.jpg\" alt=\"Rootkit firmado por Microsoft\" border=\"0\" data-original-height=\"594\" data-original-width=\"728\" title=\"Rootkit firmado por Microsoft\"\/><\/div>\n<p>Al igual que FiveSys, las nuevas detecciones de rootkits se han limitado exclusivamente a China.  Se dice que uno de los puntos de entrada sospechosos para estas infecciones es un juego chino troyano, que refleja el descubrimiento de Cisco Talos de un controlador malicioso llamado RedDriver.<\/p>\n<p>Los hallazgos encajan con otros informes de Cisco Talos y Sophos sobre el uso de controladores maliciosos en modo kernel firmados por Microsoft para actividades posteriores a la explotaci\u00f3n, con actores de amenazas de habla china que usan software de c\u00f3digo abierto popular dentro de la comunidad de desarrollo de trucos de videojuegos para eludir. restricciones impuestas por el gigante tecnol\u00f3gico.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfPreocupado por las amenazas internas?  \u00a1Te tenemos cubierto!  \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">\u00danete hoy<\/a><\/section>\n<p>Se han descubierto hasta 133 controladores maliciosos firmados con certificados digitales leg\u00edtimos, 81 de los cuales son capaces de acabar con las soluciones antivirus en los sistemas de las v\u00edctimas.  Los controladores restantes son rootkits dise\u00f1ados para monitorear de forma encubierta los datos confidenciales enviados a trav\u00e9s de Internet.<\/p>\n<p>El hecho de que estos controladores est\u00e9n firmados por el Programa de compatibilidad de hardware de Windows (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/design\/compatibility\/\" target=\"_blank\">WHCP<\/a>) significa que los atacantes pueden instalarlos en sistemas violados sin generar ninguna alerta y proceder a realizar actividades maliciosas pr\u00e1cticamente sin obst\u00e1culos.<\/p>\n<p>&#8220;Debido a que los controladores a menudo se comunican con el &#8216;n\u00facleo&#8217; del sistema operativo y se cargan antes que el software de seguridad, cuando se abusa de ellos, pueden ser particularmente efectivos para deshabilitar las protecciones de seguridad, especialmente cuando est\u00e1n firmados por una autoridad de confianza&#8221;, Christopher Budd, director de amenazas. investigaci\u00f3n en Sophos X-Ops, dijo.<\/p>\n<p>Microsoft, en respuesta a las revelaciones, dijo que implement\u00f3 protecciones de bloqueo y suspendi\u00f3 las cuentas de vendedor de los socios involucrados en el incidente para proteger a los usuarios de futuras amenazas.<\/p>\n<p>En todo caso, el desarrollo pinta una imagen de un vector de ataque en evoluci\u00f3n que los adversarios est\u00e1n utilizando activamente para obtener acceso privilegiado a las m\u00e1quinas con Windows y eludir la detecci\u00f3n por parte del software de seguridad.<\/p>\n<p>&#8220;Los actores maliciosos seguir\u00e1n usando rootkits para ocultar el c\u00f3digo malicioso de las herramientas de seguridad, da\u00f1ar las defensas y pasar desapercibidos durante largos per\u00edodos de tiempo&#8221;, dijeron los investigadores.  &#8220;Estos rootkits ver\u00e1n un uso intensivo por parte de grupos sofisticados que tienen las habilidades para aplicar ingenier\u00eda inversa a los componentes del sistema de bajo nivel y los recursos necesarios para desarrollar dichas herramientas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/chinese-hackers-deploy-microsoft-signed.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 de julio de 2023\ue804THNCiberamenaza \/ Juegos Los investigadores de ciberseguridad han descubierto un novedoso rootkit firmado por<\/p>\n","protected":false},"author":1,"featured_media":851099,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,14535,4661,4289,4664,4662,3046,6369,64188,77,4668,4667,7983,4654,4658,4659,4653,4655,18,231,4663,30407,1337,4666,4665,4660],"class_list":["post-851098","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apuntar","tag-ataques-ciberneticos","tag-chinos","tag-como-hackear","tag-filtracion-de-datos","tag-firmado","tag-hackers","tag-implementan","tag-juegos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-por","tag-programa-malicioso-ransomware","tag-rootkit","tag-sector","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/851098","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=851098"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/851098\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/851099"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=851098"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=851098"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=851098"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}