Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
990
)
-
▼
octubre
(Total:
48
)
- Operación Magnus incauta servidores de los infoste...
- Malware PhantomLoader se "disfraza" de antivirus
- Xiaomi 15 y 15 Pro: los dos primeros candidatos a ...
- Apple presenta Apple Intelligence y actualiza el M...
- Cómo acceder a los archivos de tu móvil Android de...
- Parrot 6.2: la distribución especializada en segur...
- Grafana Loki, el Prometheus de los registros (Logs)
- Embargo: un nuevo ransomware que despliega herrami...
- Un joven de 14 años se suicida tras enamorarse de ...
- The Internet Archive, bajo asedio: los ciberatacan...
- Gemini Live ya está disponible en español
- ARM rescinde la licencia que permite a Qualcomm di...
- Hackean una calculadora para instalarle ChatGPT
- Gestión de alertas con AlertManager de Prometheus
- Así funciona RCS, la nueva mensajería de texto que...
- El robot humanoide de Tesla presentado con el Cybe...
- TikTok sabía que niñas de 15 años se desnudaban en...
- Diferencias entre versión Home y Professional en W...
- Descubre para qué sirve el protocolo SNMP para rou...
- Netdata, monitoriza las métricas en Linux en tiemp...
- GPT-5: el nuevo modelo de OpenAI
- Las webs piratas de descarga, streaming e IPTV más...
- 'Doom' en el Bloc de Notas asombra hasta a su crea...
- Un "catastrófico" ciberataque contra la gran bibli...
- Los delincuentes ya no roban contraseñas, roban se...
- La función VoiceOver de iOS 18 puede ser empleada ...
- GIMP 3 está (casi) terminado
- Copilot llega a WhatsApp: ya puedes chatear con la...
- Microsoft aconseja que compres ordenador nuevo si ...
- Cómo instalar Prometheus y Node Exporter para visu...
- Configurar Telegraf, InfluxDB y Grafana para monit...
- Ntopng, un monitor de trafico de red avanzado
- PowerToys 0.85 añade crear tu propio menú contextu...
- Microsoft Office 2024 ya está disponible
- Telegram da las IP y números de teléfono de usuari...
- Cómo detectar y eliminar malware con MSRT, la herr...
- Logran saltarse el DRM de las impresoras HP usando...
- Amazon anuncia un nuevo tablet Fire HD 8
- ¿Qué es el bluesnarfing?
- WhatsApp dice adiós al "Escribiendo..."
- WhatsApp añade fondos y filtros a las videollamadas
- Microsoft cesa la producción de HoloLens 2 y solo ...
- Consiguen exponer la identidad de viandantes combi...
- GorillaBot, el rey de los ataques DDoS: una botnet...
- Detenido en Madrid el propietario del hosting del ...
- Cómo pueden los expertos forenses leer tus mensaje...
- Transistor comestible con un compuesto de la pasta...
- Medicat USB: herramienta gratuita multiusos de rec...
- ► septiembre (Total: 50 )
-
▼
octubre
(Total:
48
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un Actor de Amenazas que opera bajo el nombre de usuario Nam3L3ss ha explotado una vulnerabilidad crítica en MOVEit de 2023, un software ...
-
Los procesadores Intel y AMD han vivido una importante renovación en los últimos dos años. El gigante de Sunnyvale mantuvo su apuesta por ...
Malware PhantomLoader se "disfraza" de antivirus
Los investigadores de ANY.RUN descubrieron un nuevo ataque en el que los ciberdelincuentes utilizan PhantomLoader para entregar SSLoad, un malware altamente evasivo basado en Rust.
Al disfrazar PhantomLoader como parte del software antivirus legítimo 360 Total Security, los atacantes pueden eludir las defensas tradicionales e infectar los sistemas.
Paso 1: acceso inicial mediante phishing
Como se puede ver en esta sesión, el ataque comienza con un correo electrónico de phishing que contiene un documento de Word malicioso. Una vez que la víctima abre el documento, se activa una macro incrustada que inicia la cadena de infección y permite que el malware se infiltre en el sistema.
En una de las muestras analizadas, la ejecución del documento malicioso de Word inició un nuevo proceso, "app.com", iniciado por "WINWORD.exe". Esto confirma el papel de la macro en la creación de un proceso sospechoso y el inicio de la infección.
Paso 2: PhantomLoader disfrazado de módulo antivirus
Luego, se inicia PhantomLoader, disfrazado de un módulo legítimo de 360 Total Security llamado "PatchUp.exe". Su función es descifrar el código incrustado, que luego procede a cargar el malware real, SSLoad, en la memoria. Este engaño permite a PhantomLoader eludir la detección antivirus.
PhantomLoader utiliza técnicas de parcheo binario para integrarse en software legítimo, ocultando su verdadera intención maliciosa.
Después del lanzamiento, descifra los fragmentos de código incrustados dentro del ejecutable parcheado, que a su vez descifra y carga el malware de siguiente etapa, SSLoad, directamente en la memoria del sistema.
Paso 3: Ejecución y evasión de SSLoad
Una vez descifrado y cargado en la memoria, SSLoad, un malware basado en Rust altamente evasivo, comienza su ejecución. SSLoad emplea una variedad de técnicas antianálisis para pasar desapercibido, incluidas comprobaciones de herramientas de depuración y entornos virtualizados.
Este malware también puede detectar si está siendo monitoreado por investigadores de seguridad. Si se encuentran tales condiciones, SSLoad puede finalizarse o cambiar su comportamiento para evitar el análisis, asegurándose de que pueda continuar operando de manera sigilosa.
Lo que hace que PhantomLoader sea único es que, mediante un parche en el binario, se agrega para ser parte de una DLL o ejecutable de un software legítimo.
Paso 4: Descubrimiento de información del sistema
Una vez que SSLoad se ejecuta sin ser detectado, comienza a recopilar información crucial del sistema. Realiza un estudio detallado de la configuración de la máquina infectada, incluida la versión del sistema operativo, la arquitectura, la configuración de la red (direcciones IP, interfaces de red) y los detalles del usuario.
Esta información permite a SSLoad adaptar su comportamiento según el entorno del sistema. Por ejemplo, puede ajustar sus operaciones dependiendo de si se ejecuta en un sistema objetivo de alto valor o dentro de una red corporativa.
Paso 5: Persistencia y Comunicación C2
Una vez que SSLoad ha recopilado información del sistema y completado sus comprobaciones iniciales, comienza a comunicarse con su servidor de comando y control (C2).
El malware envía una huella digital del sistema infectado, que incluye datos cruciales sobre el sistema comprometido.
La comunicación entre SSLoad y el servidor C2 está cifrada, lo que dificulta que las herramientas de seguridad de la red la detecten o bloqueen. Después de enviar la información inicial del sistema, el servidor C2 responde con una "clave" y un "ID" únicos. La clave se utiliza para asegurar comunicaciones adicionales, mientras que la identificación permite a SSLoad autenticarse en el servidor, garantizando que solo se reciban instrucciones autorizadas.
Una vez establecida la conexión, SSLoad se comunica periódicamente con el servidor C2 para obtener más instrucciones. Estas instrucciones pueden incluir la descarga de malware adicional, la extracción de datos o la realización de otras acciones basadas en los objetivos de los atacantes.
Para una inmersión más profunda en PhantomLoader y SSLoad y los IOCs correspondientes, se puede acceder al análisis completo en el blog de ANY.RUN.
Fuente: AnyRun
Vía:
https://blog.segu-info.com.ar/2024/10/malware-phantomloader-se-disfraza-de.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.