Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
junio
(Total:
85
)
- Estafan a una mujer 170.000€ en Granada (España) q...
- Un técnico corta internet a toda la empresa para c...
- Grupo de ransomware 8Base aumenta los ataques de d...
- Microsoft quiere llevar Windows totalmente a la nube
- Google habría cancelado sus gafas de realidad aume...
- Microsoft prefirió usar los chips de Xbox Series X...
- Un hombre acepta un soborno para desviar 2 millone...
- "El factor humano" la principal debilidad de todas...
- La redada EncroChat conduce a la detención de 6.55...
- Falsas amenazas de bomba como estafa para consegui...
- Diablo IV y World of Warcraft sufren ataques DDoS ...
- El malware que viajando en un solo USB ha infectad...
- Detenida en España una influencer por abusar sexua...
- Nuevo test evalúa la capacidad de la inteligencia ...
- Discord cada vez es menos gratis y más de pago
- La IA regulará los deepfakes para evitar contenido...
- Parches de emergencia para Apple: vulnerabilidades...
- Demandan a Amazon por engañar a sus clientes para ...
- Microsoft confirma oficialmente que sufrió ataques...
- Más de 100.000 cuentas de ChatGPT hackeadas se est...
- Going Dark es el grupo de la UE que quiere termina...
- Se puede extraer información incluso con solo 3 mm...
- El submarino perdido de la expedición del Titanic ...
- La curiosa historia detrás del dominio Googlemail....
- Los jefes del malware bancario Gozi, finalmente en...
- ChatGPT no genera claves de activación de Windows ...
- Banda de ransomware ALPHV (BlackCat) amenaza a Red...
- Grupo de ransomware 8Base apunta a pymes mexicanas
- YouTubers italianos causan la muerte de niño de 5 ...
- La UE obligará a usar baterías sustituibles para a...
- Ransomware Rhysida publica 360.000 documentos del ...
- EEUU arresta en Arizona a un ruso de 20 años del g...
- Intel anuncia nueva nomenclatura para sus procesad...
- Killnet, Anonymous Sudan y REvil amenazan con atac...
- Ciberdelincuentes chinos explotan vulnerabilidad Z...
- La petrolera Shell víctima indirecta del ransomwa...
- Amazon utiliza inteligencia artificial generativa ...
- Descubren que se puede rastrear el domicilio de lo...
- Tails 5.14 mejora la seguridad con el almacenamien...
- Troyano modular Pikabot
- Scripts básicos para encontrar vulnerabilidades co...
- Análisis de precios en el mercado de la Dark Web
- A los senadores de España ya no les srive el iPhon...
- Las Apple Vision Pro tendrán que cambiar de nombre...
- Google DeepMind, OpenAI y Anthropic abren sus mode...
- Pueden robar claves criptográficas grabando en víd...
- Roban miles de dólares en Bitcoins de Rusia y los ...
- Un tipo diferente de petición de ransomware: donar...
- Estados Unidos multa con 20 millones a Microsoft p...
- Dos AirTag expusieron el robo de víveres para Turq...
- La Universidad Pompeu Fabra (UPF) de Barcelona víc...
- Capcom celebra 40º aniversario con grandes juegos ...
- Principales riesgos de seguridad de las APIs y cóm...
- Chrome mejora la seguridad del gestor de contraseñ...
- El ataque a los canales de YouTube con cookies rob...
- Un adolescente chino, de 13 años, se gasta 64.000 ...
- Hackean CNV: Comisión Nacional de Valores de Argen...
- Cómo entrar al router para configurarlo: 192.168.1.1
- Microsoft OneDrive estuvo caído todo el mundo tras...
- Nuevo malware PowerDrop contra la industria aeroe...
- nginx 1.25 añade soporte para HTTP/3
- El masivo ciberataque a MOVEit amenaza los datos p...
- ¿Display Port o HDMI en un PC para juegos?
- Apple apuesta por el «gaming» en macOS
- Los canales de WhatsApp: una forma privada de segu...
- PrivateGPT, el ChatGPT que no necesita conectarse ...
- Técnicas de HTML Smuggling para Phishing
- Libro gratuito: "ESTEGOMALWARE. Evasión de antivir...
- Utilizan imágenes de redes sociales para hacer vid...
- La Unión Europea plantea prohibir el uso de Huawei...
- Los algoritmos de Instagram promueven redes de ped...
- Ciberataque a varias televisiones rusas con un 'de...
- Apple presenta Vision Pro, sus gafas de realidad m...
- Kermit, el cibercriminal “selecto” y de “alta repu...
- Elon Musk, otra vez acusado de manipular el precio...
- Rusia dice que la NSA colabora con Apple para espi...
- La historia de cómo varios adolescentes crearon la...
- Un dron militar controlado por IA se rebela y mata...
- Kaspersky afirma que hackearon varios iPhones de s...
- RARBG cierra tras 15 años ofreciendo Torrents
- Pegasus tiene un sustituto como software espía en ...
- El Servicio Nacional de Salud británico compartió ...
- Amazon pagará 23 millones por violar la privacidad...
- La comunidad open source no tiene la culpa de los ...
- Cientos de modelos de placas base Gigabyte vulnera...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Troyano modular Pikabot
Pikabot es un troyano malicioso descubierto recientemente
Cómo funciona Pikabot
Como troyano, Pikabot es modular y consta de dos componentes principales: un cargador y un módulo central. El módulo central ejecuta la mayoría de las funciones del malware, mientras que el cargador ayuda a llevar a cabo estas actividades maliciosas
Pikabot funciona como una puerta trasera, que permite el acceso remoto no autorizado a los sistemas comprometidos. Recibe órdenes de un servidor de mando y control (C2), que pueden ir desde inyectar shellcode arbitrario, DLL o archivos ejecutables, hasta distribuir otras herramientas maliciosas como Cobalt Strike. Esto sugiere que Pikabot podría ser un potente actor en ataques de varias fases.
Los comandos que puede ejecutar son diversos, incluyendo la ejecución de comandos shell, la obtención y ejecución de archivos EXE o DLL, el envío de información adicional del sistema, la alteración del intervalo de check-in del C2, e incluso un comando “destruir” que actualmente no está implementado.
Distribución
Los primeros análisis llevaron a los investigadores a creer que Pikabot era distribuido por el troyano Qakbot. Sin embargo, estudios posteriores revelaron que los métodos de distribución de Pikabot reflejan los de Qakbot. Los métodos exactos de distribución siguen siendo en cierto modo un misterio, pero se han identificado claros paralelismos con las campañas conocidas de Qakbot.1
Modus operandi de Pikabot
La estructura modular de Pikabot le permite llevar a cabo diversas actividades maliciosas. Aunque el componente cargador tiene una funcionalidad limitada, el módulo central es donde ocurre la verdadera acción. Pikabot despliega un inyector para ejecutar pruebas anti-análisis antes de desencriptar e inyectar la carga útil del módulo central. Si alguna de estas pruebas falla, Pikabot aborta su ejecución, dificultando a los investigadores el análisis y la comprensión de sus acciones.
En cuanto a las técnicas anti-análisis, Pikabot comprueba la presencia de depuradores, puntos de interrupción e información del sistema. Utiliza herramientas públicas como ADVobfuscator para la ofuscación de cadenas y dispone de numerosos métodos para detectar entornos sandbox, depuración y otros intentos de análisis.
La carga útil del módulo central está cifrada y almacenada en imágenes PNG. Estas imágenes se descifran utilizando una clave codificada de 32 bytes, y los datos descifrados se procesan posteriormente utilizando AES (modo CBC). A continuación, la carga útil se inyecta en un proceso especificado, como WerFault, y Pikabot establece determinadas banderas para proteger el proceso inyectado de los binarios de Microsoft no firmados.
Hallazgos interesantes
Una de las características intrigantes de Pikabot es su auto desconexión si el idioma del sistema es georgiano, kazajo, uzbeko o tayiko. Esto sugiere que los autores pueden estar evitando deliberadamente sistemas en regiones geográficas específicas. Además, Pikabot parece estar en las primeras fases de desarrollo, como sugiere su número de versión (0.1.7) encontrado en su comunicación inicial con el servidor C2.
También hay sorprendentes similitudes entre Pikabot y otra familia de malware, Matanbuchus. Ambos están escritos en C/C++, utilizan una división de componentes loader/core, emplean JSON+Base64+crypto para el tráfico, y utilizan ampliamente cadenas hardcoded. Estas similitudes apuntan a una posible conexión entre las dos familias de malware.
Fuentes:
https://news.sophos.com/es-es/2023/06/13/analisis-en-profundidad-de-la-ciberamenaza-pikabot/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.