{"id":871195,"date":"2023-07-25T14:17:01","date_gmt":"2023-07-25T14:17:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-bancario-casbaneiro-pasa-desapercibido-con-la-tecnica-de-derivacion-de-uac\/"},"modified":"2023-07-25T14:17:05","modified_gmt":"2023-07-25T14:17:05","slug":"el-malware-bancario-casbaneiro-pasa-desapercibido-con-la-tecnica-de-derivacion-de-uac","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-bancario-casbaneiro-pasa-desapercibido-con-la-tecnica-de-derivacion-de-uac\/","title":{"rendered":"El malware bancario Casbaneiro pasa desapercibido con la t\u00e9cnica de derivaci\u00f3n de UAC"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Malware \/ Ciberamenaza<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los actores de amenazas financieramente motivados detr\u00e1s de la <strong>Casbaneiro<\/strong> Se ha observado que la familia de malware bancario hace uso de un control de cuentas de usuario (<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1548\/002\/\" target=\"_blank\">UAC<\/a>) t\u00e9cnica de omisi\u00f3n para obtener privilegios administrativos completos en una m\u00e1quina, una se\u00f1al de que el actor de amenazas est\u00e1 evolucionando sus t\u00e1cticas para evitar la detecci\u00f3n y ejecutar c\u00f3digo malicioso en activos comprometidos.<\/p>\n<p>&#8220;Todav\u00eda est\u00e1n fuertemente enfocados en las instituciones financieras latinoamericanas, pero los cambios en sus t\u00e9cnicas tambi\u00e9n representan un riesgo significativo para las organizaciones financieras multirregionales&#8221;, Sygnia <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sygnia.co\/breaking-down-casbaneiro-infection-chain-part2\" target=\"_blank\">dicho<\/a> en un comunicado compartido con The Hacker News.<\/p>\n<p>Casbaneiro, tambi\u00e9n conocido como Metamorfo y Ponteiro, es mejor conocido por su troyano bancario, que surgi\u00f3 por primera vez en campa\u00f1as masivas de correo electr\u00f3nico no deseado dirigidas al sector financiero latinoamericano en 2018.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Las cadenas de infecci\u00f3n generalmente comienzan con un correo electr\u00f3nico de phishing que apunta a un archivo adjunto con una trampa explosiva que, cuando se inicia, activa una serie de pasos que culminan en la implementaci\u00f3n del malware bancario, junto con scripts que aprovechan las t\u00e9cnicas de living-off-the-land (LotL) para tomar huellas dactilares del host y recopilar metadatos del sistema.<\/p>\n<p>Tambi\u00e9n se descarga en esta etapa un binario llamado Horabot que est\u00e1 dise\u00f1ado para propagar la infecci\u00f3n internamente a otros empleados desprevenidos de la organizaci\u00f3n violada.<\/p>\n<p>&#8220;Esto agrega credibilidad al correo electr\u00f3nico enviado, ya que no hay anomal\u00edas obvias en los encabezados de los correos electr\u00f3nicos (dominios externos sospechosos), lo que normalmente desencadenar\u00eda que las soluciones de seguridad del correo electr\u00f3nico act\u00faen y mitiguen&#8221;, dijo la compa\u00f1\u00eda de ciberseguridad en un informe anterior publicado en abril de 2022. &#8220;Los correos electr\u00f3nicos incluyen el mismo archivo adjunto en PDF que se us\u00f3 para comprometer a los hosts de las v\u00edctimas anteriores, por lo que la cadena se ejecuta una vez m\u00e1s&#8221;.<\/p>\n<p>Lo que ha cambiado en las oleadas de ataques recientes es que el ataque se inicia con un correo electr\u00f3nico de phishing con un enlace a un archivo HTML que redirige al objetivo para descargar un archivo RAR, una desviaci\u00f3n del uso de archivos adjuntos en PDF maliciosos con un enlace de descarga a un archivo ZIP.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfPreocupado por las amenazas internas?  \u00a1Te tenemos cubierto!  \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">\u00danete hoy<\/a><\/section>\n<p>Un segundo cambio importante en el modus operandi se refiere al uso de <a rel=\"nofollow noopener\" href=\"https:\/\/pentestlab.blog\/2017\/06\/07\/uac-bypass-fodhelper\/\" target=\"_blank\">fodhelper.exe<\/a> para lograr un <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/exploring-windows-uac-bypasses-techniques-and-detection-strategies\" target=\"_blank\">derivaci\u00f3n UAC<\/a> y alcanzar un alto nivel de integridad en la ejecuci\u00f3n.<\/p>\n<p>Sygnia dijo que tambi\u00e9n observ\u00f3 a los atacantes de Casbaneiro creando una carpeta simulada en C:Windows[space]system32 para copiar el ejecutable fodhelper.exe, aunque se dice que la ruta especialmente dise\u00f1ada nunca se emple\u00f3 en la intrusi\u00f3n.<\/p>\n<p>&#8220;Es posible que el atacante haya implementado la carpeta simulada para eludir las detecciones de AV o para aprovechar esa carpeta para cargar archivos DLL con binarios firmados por Microsoft para eludir UAC&#8221;, dijo la compa\u00f1\u00eda.<\/p>\n<p>El desarrollo marca la tercera vez que se detecta el enfoque de la carpeta de confianza simulada en la naturaleza en los \u00faltimos meses, con el m\u00e9todo utilizado en campa\u00f1as que entregan un cargador de malware llamado DBatLoader, as\u00ed como troyanos de acceso remoto como Warzone RAT (tambi\u00e9n conocido como Ave Maria).<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/casbaneiro-banking-malware-goes-under.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 de julio de 2023\ue804THNMalware \/ Ciberamenaza Los actores de amenazas financieramente motivados detr\u00e1s de la Casbaneiro Se<\/p>\n","protected":false},"author":1,"featured_media":871196,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,141,176041,4664,99,38503,59520,4662,4668,4667,4669,4654,4658,4659,4653,4655,113,4663,4666,4665,26098,176042,4660],"class_list":["post-871195","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-bancario","tag-casbaneiro","tag-como-hackear","tag-con","tag-derivacion","tag-desapercibido","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-pasa","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-tecnica","tag-uac","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/871195","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=871195"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/871195\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/871196"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=871195"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=871195"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=871195"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}