Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Ocultan malware utilizando los registros (logs) de Windows


Detectan una campaña de distribución de malware que recurre a un método nunca vista antes: utilizar los registros de eventos de Windows para ocultar en ellos el malware… un método que ha permitido a los atacantes difundirlo sin llamar la atención, dadas las pocas alarmas que levanta un ataque de esas características.

 


 

Nuevos malware utilizan nueva técnica inyectando el código malicioso en los registros de Windows

 Concretamente, lo que hace este ataque es recurrir a un primer malware que va inyectando fragmentos de 8 KB de código shell encriptado en los registros de eventos de Windows para el Servicio de Administración de Claves (KMS), fragmentos que posteriormente desencripta, combina y ejecuta. Un mecanismo que ha permitido hasta ahora al creador de esta técnica —de identidad aún desconocida— 'volar bajo el radar' de los antivirus.

 

Un robo de datos que no se parece a nada visto antes

Finalmente, fue gracias a un software de Kaspersky, basado no en el habitual reconocimiento de firmas, sino en la detección de comportamiento anómalo del software, lo que permitió identificar por primera vez este malware, que ahora ha sido estudiado por los analistas de la compañía. La investigación reveló que el malware era parte de una campaña "muy dirigida".

Se cree que el sigiloso proceso de infección que ha permitido a este software distribuirse entre sus víctimas se inició en septiembre de 2021, cuando la víctima fue manipulada para descargar un archivo RAR desde el servicio de intercambio de archivos file.io.

El troyano que contenía (cuyos ficheros venían firmados irregularmente con el certificado de una compañía denominada Fast Invest ApS) alteraba ficheros del sistema situados en C:\Windows\Task con el objetivo de 'secuestrar' el proceso de detección de errores de Windows y así poder inyectar el citado código en los logs de Windows.


 

Más allá de su complejidad técnica, en la mayoría de los casos el propósito final del código inyectado no era otro que el de obtener algunos "datos valiosos" contenidos en los equipos de las víctimas, según declaraciones de los investigadores del caso a la publicación de BleepingComputer.

Kaspersky afirma que la investigación en torno a este malware no encontró ninguna similitud con campañas anteriores asociadas con cibercriminales o grupos 'hackers' previamente conocidos. Aunque, ahora que una porción de su código fuente está disponible en GitHub, es posible que esta técnica de intrusión empiece a popularizarse.

 Fuentes:

https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/
https://www.genbeta.com/seguridad/descubren-tecnica-infeccion-malware-nunca-antes-vista-inyectar-codigo-malicioso-logs-windows


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.