Un nuevo cargador de malware llamado HijackLoader est\u00e1 ganando terreno entre la comunidad cibercriminal para entregar varias cargas \u00fatiles, como danabot<\/a>SystemBC y RedLine Stealer.<\/p>\n “Aunque HijackLoader no contiene funciones avanzadas, es capaz de utilizar una variedad de m\u00f3dulos para la inyecci\u00f3n y ejecuci\u00f3n de c\u00f3digo, ya que utiliza una arquitectura modular, una caracter\u00edstica que la mayor\u00eda de los cargadores no tienen”, dijo Nikolaos Pantazopoulos, investigador de Zscaler ThreatLabz. dicho<\/a>.<\/p>\n Observado por primera vez por la empresa en julio de 2023, el malware emplea una serie de t\u00e9cnicas para pasar desapercibido. Esto implica el uso de llamadas al sistema para evadir el monitoreo de las soluciones de seguridad, monitorear los procesos asociados con el software de seguridad bas\u00e1ndose en una lista de bloqueo integrada y posponer la ejecuci\u00f3n del c\u00f3digo hasta 40 segundos en diferentes etapas.<\/p>\n Actualmente se desconoce el vector de acceso inicial exacto utilizado para infiltrarse en los objetivos. A pesar de los aspectos anti-an\u00e1lisis, el cargador se incluye en un m\u00f3dulo de instrumentaci\u00f3n principal que facilita la inyecci\u00f3n y ejecuci\u00f3n de c\u00f3digo flexible utilizando m\u00f3dulos integrados.<\/p>\n La persistencia en el host comprometido se logra creando un archivo de acceso directo (LNK) en la carpeta de inicio de Windows y apunt\u00e1ndolo a un Servicio de transferencia inteligente en segundo plano (BITS<\/a>) trabajo.<\/p>\n “HijackLoader es un cargador modular con t\u00e9cnicas de evasi\u00f3n, que proporciona una variedad de opciones de carga para cargas maliciosas”, dijo Pantazopoulos. “Adem\u00e1s, no tiene funciones avanzadas y la calidad del c\u00f3digo es mala”.<\/p>\n La divulgaci\u00f3n se produce cuando Flashpoint revel\u00f3 detalles de una versi\u00f3n actualizada de un malware de robo de informaci\u00f3n conocido como RisePro que se distribu\u00eda previamente a trav\u00e9s de un servicio de descarga de malware de pago por instalaci\u00f3n (PPI) denominado PrivateLoader.<\/p>\n “El vendedor afirm\u00f3 en sus anuncios que hab\u00edan tomado los mejores aspectos de ‘RedLine’ y ‘Vidar’ para crear un poderoso ladr\u00f3n”, Flashpoint anotado<\/a>. “Y esta vez, el vendedor tambi\u00e9n promete una nueva ventaja para los usuarios de RisePro: los clientes alojan sus propios paneles para garantizar que los vendedores no roben los registros”.<\/p>\n RisePro, escrito en C++, est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n confidencial en m\u00e1quinas infectadas y exfiltrarla a un servidor de comando y control (C&C) en forma de registros. Se puso a la venta por primera vez en diciembre de 2022.<\/p>\n Tambi\u00e9n sigue al descubrimiento de un nuevo ladr\u00f3n de informaci\u00f3n escrito en Node.js que est\u00e1 empaquetado en un ejecutable y distribuido a trav\u00e9s de un tema malicioso de Modelo de Lenguaje Grande (LLM). anuncios de facebook<\/a> y sitios web falsos que se hacen pasar por el editor de v\u00eddeo CapCut de ByteDance.<\/p>\n “Cuando se ejecuta el ladr\u00f3n, ejecuta su funci\u00f3n principal que roba cookies y credenciales de varios navegadores web basados \u200b\u200ben Chromium, luego filtra los datos al servidor C&C y al bot de Telegram”, dijo el investigador de seguridad Jaromir Horejsi. dicho<\/a>.<\/p>\n “Tambi\u00e9n suscribe al cliente al servidor C&C que ejecuta GraphQL. Cuando el servidor C&C env\u00eda un mensaje al cliente, la funci\u00f3n de robo se ejecutar\u00e1 nuevamente”. Los navegadores objetivo incluyen Google Chrome, Microsoft Edge, Opera (y OperaGX) y Brave.<\/p>\n Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad<\/p>\n <\/a><\/p>\n \u00bfConsigui\u00f3 el MFA? \u00bfPAM? \u00bfProtecci\u00f3n de la cuenta de servicio? Descubra qu\u00e9 tan bien equipada est\u00e1 realmente su organizaci\u00f3n contra las amenazas a la identidad<\/p>\n Potencia tus habilidades<\/a><\/section>\n Esta es la segunda vez que se observa que sitios web falsos de CapCut entregan malware ladr\u00f3n. En mayo de 2023, Cyble descubierto<\/a> dos cadenas de ataques diferentes que aprovecharon el software como se\u00f1uelo para enga\u00f1ar a usuarios desprevenidos para que ejecutaran Offx Stealer y RedLine Stealer.<\/p>\n Los acontecimientos pintan un cuadro de Constantemente evolucionando<\/a> ecosistema de cibercrimen, en el que las infecciones por ladrones act\u00faan como principal vector de ataque inicial utilizado por los actores de amenazas para infiltrarse en las organizaciones y llevar a cabo acciones posteriores a la explotaci\u00f3n.<\/p>\n Por lo tanto, no es sorprendente que los actores de amenazas se suban al tren para generar nuevas cepas de malware ladr\u00f3n como Prysmax, que incorporan una navaja suiza de funcionalidades que permiten a sus clientes maximizar su alcance e impacto.<\/p>\n “El malware basado en Python se empaqueta usando Pyinstaller, que puede usarse para agrupar el c\u00f3digo malicioso y todas sus dependencias en un \u00fanico ejecutable”, Cyfirma dicho<\/a>. “El malware que roba informaci\u00f3n se centra en desactivar Windows Defender, manipular su configuraci\u00f3n y configurar su propia respuesta a las amenazas”.<\/p>\n “Tambi\u00e9n intenta reducir su trazabilidad y mantener un punto de apoyo en el sistema comprometido. El malware parece estar bien dise\u00f1ado para el robo y la exfiltraci\u00f3n de datos, al tiempo que evade la detecci\u00f3n de las herramientas de seguridad, as\u00ed como de los entornos limitados de an\u00e1lisis din\u00e1micos”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\")
<\/a><\/center><\/section>\n