Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Versión con malware de Notepad++


Investigadores de seguridad del Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) han descubierto una sofisticada campaña de malware dirigida al ampliamente utilizado editor de texto Notepad++. Este ataque, denominado "WikiLoader", demuestra el alarmante ingenio de los actores de amenazas modernos y los riesgos asociados incluso con el software aparentemente confiable.





  • El popular editor de texto Notepad++ se ve afectado por el malware "WikiLoader" mediante secuestro de DLL 
  • Atacantes modificaron librería plugins "mimeTools.dll", para ejecutar código malicioso 

Cómo WikiLoader explota la confianza

En el centro de este ataque se encuentra una técnica conocida como secuestro de DLL. Los atacantes modificaron subrepticiamente un complemento predeterminado de Notepad++, "mimeTools.dll", para ejecutar código malicioso cada vez que se inicia el editor de texto. Dado que este complemento se incluye con cada instalación de Notepad++, los usuarios desencadenan la infección sin saberlo tan pronto como utilizan el software. 



   Dentro del complemento vulnerable, los atacantes ocultaron cuidadosamente su carga útil. Un archivo disfrazado de certificado inofensivo, "certificate.pem", enmascara una shell cifrada: la etapa inicial del ataque. La complejidad aumenta a medida que el malware sobrescribe el código dentro de otro complemento, "BingMaps.dll", e inyecta un hilo en el proceso central de Windows "explorer.exe". Esto garantiza la persistencia y hace que el ataque sea más difícil de detectar. 


   La campaña WikiLoader muestra múltiples tácticas diseñadas para frustrar la detección antivirus:

  • Ocultarse a plena vista: el uso de llamadas al sistema indirectas (llamadas al sistema) ayuda a que el malware evite ser señalado por las herramientas de monitoreo estándar.
  • Jugando al gato y al ratón: el malware busca activamente procesos comúnmente utilizados para el análisis. Si se detecta alguno, se apaga inmediatamente para evitar una investigación más profunda.

Los actores de amenazas detrás de WikiLoader tienen un objetivo claro: establecer un punto de apoyo en la computadora de la víctima. Lo hacen haciendo que el Notepad++ comprometido se conecte con un servidor de comando y control (C2) que se hace pasar inteligentemente por una página de inicio de sesión de WordPress. Es desde aquí desde donde se entrega la carga útil final del malware, aunque sus capacidades exactas aún no se han revelado por completo.

La misión de reconocimiento de WikiLoader

Incluso sin la carga útil final, WikiLoader plantea un riesgo importante al recopilar meticulosamente información sobre el sistema infectado. Esto incluye:

  • Nombre de la computadora y nombre de usuario
  • Nivel de acceso de administrador
  • Configuración de idioma y sistema

Pasos críticos para los usuarios de Notepad++ y más

El descubrimiento del malware WikiLoader dentro de Notepad++ subraya las vulnerabilidades inherentes a las aplicaciones de software ampliamente utilizadas. La facilidad con la que el malware se integra en las herramientas cotidianas resalta la necesidad crítica de vigilancia, incluso cuando se trata de software en el que millones de personas confían y utilizan con frecuencia.

  • La fuente importa: descargue siempre Notepad++ y cualquier otro software, exclusivamente de fuentes oficiales y confiables. El software pirateado plantea riesgos importantes.
  • Parche inmediatamente: si es usuario de Notepad++, asegúrese de tener la última versión para mitigar este exploit.
  • La vigilancia es clave: tenga mucho cuidado con comportamientos inesperados en su sistema, incluso con software conocido. Manténgase informado sobre las amenazas actuales a la ciberseguridad.

IOC

  • c4ac3b4ce7aa4ca1234d2d3787323de2 : package file(npp.8.6.3.portable.x64.zip)
  • 6136ce65b22f59b9f8e564863820720b : mimeTools.dll
  • fe4237ab7847f3c235406b9ac90ca8 45: certificate.pem
  • d29f25c4b162f6a19d4c6b96a540648c: package file(npp.8.6.4.portable.x64.zip )
  • 8b7a358005eff6c44d66e44f5b266d33 : mimeTools.dll
  • d5ea5ad8678f362bac86875cad47ba21 : certificate.pem

Fuentes: SecurityOnline

https://blog.segu-info.com.ar/2024/04/notepad-comprometido-en-el-ataque-de.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.