Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Troyano "stealer" instalados a través de falsos KMSPico


En mayo de 2024, la Unidad de Respuesta a Amenazas (TRU) de eSentire detectó un ataque que involucraba una herramienta activadora KMSPico falsa, que instalaba el troyano Vidar Stealer. El ataque aprovechó las dependencias de Java y un Script de AutoIt malicioso para desactivar Windows Defender y, finalmente, descifrar la carga útil de Vidar mediante una shell.




En el incidente observado, el usuario realiza una búsqueda de KMSPico e igresa al primer resultado del buscador (kmspico[.]ws). La herramienta se promociona como un "activador universal" para Windows y parece que ya no recibe mantenimiento. 



l sitio falso kmspico[.]ws estaba alojado detrás de Cloudflare Turnstile y requería el ingreso de un código para descargar el paquete ZIP final. Estos pasos son inusuales para una página de descarga de aplicaciones legítima y se realizan para ocultar la página y la carga útil final de los rastreadores web automatizados. El archivo ZIP del análisis contiene dependencias de Java y el ejecutable malicioso Setuper_KMS-ACTIV.exe (MD5: 6b6d562c71b953f41b6915998f047a30).

Al ejecutarlo, se iniciará javaw.exe, que es responsable de deshabilitar la supervisión del comportamiento en Windows Defender y descargar el script malicioso de AutoIt (MD5: b06e67f9767e5023892d9698703ad098).

El script de AutoIt contiene la carga útil cifrada de Vidar  que se inyectará en el proceso AutoIt. Vidar Stealer usa Telegram como Dead Drop Resolver (DDR) para almacenar la dirección IP del C2. Los actores de amenazas utilizan un Dead Drop Resolver para alojar información de comando y control (C2) en servicios web externos legítimos, incrustando y a menudo ofuscando dominios o direcciones IP dentro del contenido publicado en sitios y aplicaciones populares como Telegram (T1102.001).

 

Fuentes:

https://blog.segu-info.com.ar/2024/06/troyano-stealer-instalados-traves-de.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.