Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
marzo
(Total:
63
)
- Herramientas Recuperación y Copia de Seguridad de ...
- El Ayuntamiento de Castellón sufre un ciberataque ...
- Instalar Chrome OS en una Raspberry Pi con FydeOS
- Mejores buscadores avanzados en Internet
- Historia del ransomware Egregor
- Tapjacking: superposiciones overlay y otros engañ...
- RetroShare: una plataforma de mensajería confidencial
- Dos vulnerabilidades críticas en plugin de Faceboo...
- CloudFlare presenta aislamiento del navegador y de...
- Nueva variante de Ransomware en América Latina: M...
- Shell informa de una violación de datos después de...
- Exploits para la vulnerabilidad crítica de F5 BIG-...
- Detienen a Vandathegod acusado de la mayor filtrac...
- Dos graves vulnerabilidades en complementos para W...
- Gestión de paquetes en Debian
- Error en Zoom permite la filtración de información...
- El fabricante Acer afectado por un ataque de ranso...
- Herramientas para escanear y auditar seguridad con...
- Mejores prácticas de seguridad en Docker
- Admitida en Estados Unidos una demanda multimillon...
- Adobe demanda un tweet de Acrobat Reader 1.0 (de h...
- Rclone: herramienta para clonar y sincronizar dire...
- Instalar un servidor VPN en una Raspberry Pi con P...
- Whonix, una distro basada en la seguridad y la pri...
- Opciones firewall para proteger una red: pfSense, ...
- El índice de Reparabilidad para dispositivos y ele...
- Zoom Escaper es un widget para Chrome para añadir ...
- Medidas prevención para evitar que un ransomware c...
- Transportes de Barcelona afectada por un ransomware
- SystemRescue 8.0: distro live rescate GNU-Linux co...
- Rescuezilla: recuperar archivos o hacer backup o i...
- Instalar un portal cautivo en una Raspberry Pi
- Aprovechan las vulnerabilidades de Exchange para s...
- Escritorio Remoto de Chrome para controlar tu PC d...
- Usuaria con apellido TRUE bloquea sistema iCloud d...
- Grave incendio del proveedor OVH en las instalacio...
- El Servicio de Empleo Publico Estatal de España (S...
- Ocultan carga útil de ObliqueRAT en imágenes para ...
- Iberia Plus restablece las contraseñas de sus clie...
- Más de 18.000 aplicaciones de iOS y Android filtra...
- El supervisor bancario europeo sufre un ciberataqu...
- Tres meses sin internet para Alcasec: el castigo a...
- Lord of the Ring(s): Nueva vulnerabilidad descubie...
- El portal Educarm (Murcia) sufre un ataque informá...
- Ventoy: herramienta para crear USB's de arranque c...
- Sistema de archivos para un pendrive, SSD, Disco D...
- Suricata - IDS/IPS - Instalación, configuración bá...
- Snort: Sistema Detección Intrusos (NIDS)
- Desinstalar App Falsa FluBot (Cabassous) de Fedex ...
- Cuatro detenidos en Barcelona por enviar 71.000 me...
- Cambiar un bit en el nombre de dominio para secues...
- ¿Qué es un keylogger? Una herramienta para espiar ...
- Power Automate Desktop permite automatizar tareas ...
- Instalar vscode (Visual Studio Code) y xDebug en K...
- Instalar Android Studio (con AVD - Android Virtual...
- Instalar Discord, Zoom, Tor, Sublime Text, Doom 3,...
- Filtran datos de 21 millones usuarios de VPN's par...
- Ciberactores Chinos atacan servidores de correo Mi...
- Alrededor del 20% de los 18,5 millones de Bitcoin ...
- Instalar complemento Netflix en Kodi en una Raspbe...
- Inteligencia Artificial consigue dar vida en forma...
- China utilizó un exploit 0-Day de la NSA años ante...
- Instalar VMware ESXi en una Raspberry Pi 4
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Ocultan carga útil de ObliqueRAT en imágenes para evadir la detección
Implementando troyanos de acceso remoto (RAT) bajo la apariencia de imágenes aparentemente inocuas alojadas en sitios web infectados, lo que destaca una vez más cómo los actores de amenazas cambian rápidamente de táctica cuando sus métodos de ataque se descubren y se exponen públicamente.
Documentado por primera vez en febrero de 2020 , el malware se ha relacionado con un actor de amenazas rastreado como Transparent Tribe (también conocido como Operación C-Major, Mythic Leopard o APT36), un grupo muy prolífico supuestamente de origen paquistaní conocido por sus ataques contra activistas de derechos humanos en el país, así como el personal militar y gubernamental de la India.
Si bien el modus operandi de ObliqueRAT se superpuso anteriormente con otra campaña de Tribu Transparente en diciembre de 2019 para difundir CrimsonRAT, la nueva ola de ataques difiere de dos maneras cruciales.
Además de hacer uso de un código de macro completamente diferente para descargar e implementar la carga útil de RAT, los operadores de la campaña también han actualizado el mecanismo de entrega ocultando el malware en archivos de imagen de mapa de bits aparentemente benignos (archivos .BMP) en una red de adversarios. sitios web controlados.
Archivos de imagen
Los archivos de imagen utilizados son archivos BMP alojados en sitios web controlados por adversarios. Los archivos de imagen contienen datos de imagen legítimos y bytes ejecutables maliciosos ocultos en los bytes de datos de imagen.
Archivo de imagen que contiene datos ejecutables en BITMAPLINES (datos RGB).
“Otro ejemplo de un Maldoc utiliza una técnica similar con la diferencia de que la carga útil alojado en la página web comprometida es una imagen BMP que contiene un archivo ZIP que contiene ObliqueRAT carga útil,” Talos investigador Asheer Malhotra dijo . “Las macros maliciosas son responsables de extraer el ZIP y, posteriormente, la carga útil de ObliqueRAT en el endpoint”.
Independientemente de la cadena de infección, el objetivo es engañar a las víctimas para que abran correos electrónicos que contienen los documentos armados, que, una vez abiertos, dirigen a las víctimas a la carga útil de ObliqueRAT (versión 6.3.5 a partir de noviembre de 2020) a través de URL maliciosas y, en última instancia, exportan datos confidenciales de el sistema de destino.
Pero no es solo la cadena de distribución la que ha recibido una actualización. Se han descubierto al menos cuatro versiones diferentes de ObliqueRAT desde su descubrimiento, que Talos sospecha que son cambios probablemente realizados en respuesta a divulgaciones públicas anteriores, al tiempo que amplían sus capacidades de robo de información para incluir una captura de pantalla y funciones de grabación de cámara web y ejecutar comandos arbitrarios.
El uso de esteganografía para entregar cargas útiles maliciosas no es nuevo, al igual que el abuso de sitios web pirateados para alojar malware.
En junio de 2020, se descubrió que los grupos de Magecart ocultaban el código del skimmer web en los metadatos EXIF para la imagen de favicon de un sitio web. A principios de esta semana, los investigadores de Sophos descubrieron una campaña de Gootkit que aprovecha el envenenamiento por optimización de motores de búsqueda (SEO) con la esperanza de infectar a los usuarios con malware al dirigirlos a páginas falsas en sitios web legítimos pero comprometidos.
Pero esta técnica de utilizar documentos envenenados para señalar a los usuarios el malware oculto en archivos de imagen presenta un cambio en las capacidades de infección con el objetivo de pasar sin atraer demasiado escrutinio y permanecer fuera del radar.
“Esta nueva campaña es un ejemplo típico de cómo los adversarios reaccionan a las divulgaciones de ataques y evolucionan sus cadenas de infección para evadir las detecciones”, dijeron los investigadores. “Las modificaciones en las cargas útiles de ObliqueRAT también destacan el uso de técnicas de ofuscación que se pueden utilizar para evadir los mecanismos de detección tradicionales basados en firmas”.
Fuentes:
https://blog.talosintelligence.com/2021/02/obliquerat-new-campaign.html
https://www.zdnet.com/article/obliquerat-trojan-now-hides-in-images-on-compromised-websites/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.