Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2064
)
-
▼
marzo
(Total:
572
)
-
PS5 Pro y PS6 tendrán generación de fotogramas por IA
-
Adiós a los reinicios forzados en Windows 11: Micr...
-
5 cosas que Claude puede hacer y quizás no sabías
-
¿Para qué sirve la lámina de plástico negro que cu...
-
EDR killers: controladores vulnerables utilizado p...
-
SILENTCONNECT usa VBScript, PowerShell y enmascara...
-
Vulnerabilidades críticas en Jenkins exponen servi...
-
Cofundador Supermicro detenido por importar ilegal...
-
Tarjetas gráficas sin GPU ni VRAM, cajas llenas de...
-
Golpe a las IPTV piratas: ya hay usuarios que han ...
-
El MacBook Neo de 599 dólares sorprendió al mercad...
-
Primer colegio sancionado en España por el uso ind...
-
Explotación activa de CVE-2025-32975 permite tomar...
-
Empresa de software con grandes beneficios decide ...
-
Creó cientos de miles de canciones con IA y las re...
-
Visibilidad y controles de seguridad para Claude Code
-
Actualización de seguridad de Chrome corrige 26 vu...
-
Oracle emite actualización de seguridad urgente po...
-
Blue Origin de Jeff Bezos revela planes para un ce...
-
Filtración en Navia expone datos personales de 2,7...
-
Retiran una novela de las tiendas porque ha sido c...
-
El FBI y la CISA advierten que rusos atacan a pers...
-
Vulnerabilidad en centros de datos y servidores de...
-
Intel aumentará el precio de sus CPU de consumo en...
-
Vendedor estafado cuando cliente de eBay devuelve ...
-
Meta reducirá el uso de moderadores humanos apoyán...
-
Distros de Linux curiosas
-
Los precios de la DDR5 empiezan a bajar, pero se h...
-
Apex: herramienta pentester con IA para hallar vul...
-
Un robot se vuelve loco en pleno restaurante de Ca...
-
MAI-Image-2, Microsoft mejora su creador de imágenes
-
Lo barato sale caro: piezas de un PC que nunca deb...
-
El centro de datos de Softbank de 10 gigavatios pl...
-
Una madre utiliza la IA para que los desastres de ...
-
Errores comunes que debes evitar al configurar una...
-
AMD lanza FSR 4.1 para GPUs RX 9000-series
-
Microsoft da marcha atrás a la IA: M365 Copilot no...
-
BetterLeaks: herramienta de código abierto para es...
-
Expertos en ciberseguridad del Gobierno de EEUU cr...
-
GitHub se une a Google, Amazon (AWS), OpenAI y Ant...
-
Vulnerabilidades críticas en Ubiquiti UniFi permit...
-
Telegram logra un récord histórico de moderación p...
-
Campañas avanzadas de phishing y vishing con devic...
-
NVIDIA creará LPU para China con la arquitectura d...
-
El troyano bancario Horabot reaparece en México co...
-
AMD se alía con Samsung: busca garantizar su acces...
-
Alerta por la estafa del hilo invisible en cajeros
-
Microsoft considera demandar a OpenAI por el recie...
-
OpenAI lanza GPT-5.4 Mini y Nano para responder el...
-
Kioxia anuncia nuevo SSD de súper alto IOPS que ac...
-
Meta abandona su plataforma en el metaverso Horizo...
-
YouTube quiere que los usuarios detecten vídeos cr...
-
PowerToys 0.98 para Windows ya está disponible con...
-
Bolsas Faraday, qué son esas extrañas fundas para ...
-
Samsung alerta contra la infracción de patentes de...
-
Malas noticias para los clientes de Starlink, Elon...
-
Nuevo exploit de iOS con herramientas avanzadas de...
-
Vulnerabilidad de día cero en firewall de Cisco ex...
-
Guardar datos en una memoria USB de 32 GB durante ...
-
El primer SSD M.2 de 16 TB del mercado aterriza a ...
-
iPhones pueden ser hackeados con solo visitar una web
-
Google mejora la experiencia gratuita de Gemini
-
Casi 20 años después Sony lanza un update para la ...
-
CISA advierte sobre vulnerabilidad en Microsoft Sh...
-
Cómo cambiar una partición de Windows de MBR a GPT...
-
Red de bots vinculada a Irán al descubierto tras f...
-
Vendedor de eBay recibe de vuelta una ZOTAC RTX 50...
-
Un modder convierte una Xbox en un PC para juegos:...
-
"Tu DNI en venta por menos de 4 dólares"
-
Un YouTuber convierte una Xbox Series X en un PC g...
-
Caja PC con todo Noctua con la Antec Flux Pro (Caj...
-
Fan Control, pwmConfig y lm_sensors para configura...
-
Spotify activa la función "Modo exclusivo" para au...
-
SSD de 16TB cuesta casi 16.000$
-
CHUWI no está sola, Ninkear también usa procesador...
-
La IA china DeepSeek V4 se habría dejado ver antes...
-
CVE-2026-3888 en Ubuntu: escalada a root aprovecha...
-
FiltraciónNet amplía operaciones de ransomware con...
-
Vulnerabilidad crítica en Telnetd permite a atacan...
-
El mejor emulador de PS4 se actualiza: ShadPS4 rec...
-
Exposición de servidor de FancyBear revela credenc...
-
Vulnerabilidad en ScreenConnect permite extraer cl...
-
Nuevas campañas de malware convierten dispositivos...
-
Vulnerabilidad en WebKit de Apple permite eludir c...
-
El Ryzen 5 5500 se convierte en el procesador más ...
-
Orange compensará en la próxima factura tras el co...
-
DLSS 5 no es un simple filtro para las caras: mejo...
-
Adobe forja una alianza con NVIDIA en un intento d...
-
Comprar por Internet es ahora más peligroso debio ...
-
Intel Xeon 6 elegido como CPU anfitrión para los s...
-
Nvidia presenta la bandeja Rubin Ultra, la primera...
-
Microsoft encuentra al culpable (y la solución) de...
-
El POD Vera Rubin de Nvidia con 60 exaflops: cómo ...
-
NVIDIA DLSS 5 explicado en 12 preguntas y respuest...
-
Intel apunta a hacerse de oro con la IA: packaging...
-
El cable Titanload Pro alcanza una temperatura has...
-
Google advierte que los actores de ransomware camb...
-
Jensen Huang dice que los jugadores están "complet...
-
Glassworm infecta paquetes populares de React Nati...
-
Vulnerabilidad en sistemas Ubuntu Desktop permite ...
-
-
▼
marzo
(Total:
572
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Winhance es una herramienta gratuita que elimina el 'bloatware' de Windows 10 y 11 , optimizando el rendimiento del PC al limpiar... -
Expertos en ciberseguridad del Gobierno de EEUU califican la nube de Microsoft (GCC) como "una porquería" por no garantizar la ... -
Las bolsas Faraday son fundas para móviles que bloquean señales usando el principio de la jaula de Faraday, empleadas en reuniones de alto...
SILENTCONNECT usa VBScript, PowerShell y enmascaramiento PEB para implementar ScreenConnect
SILENTCONNECT es un cargador de malware de múltiples etapas recientemente descubierto que ha estado atacando silenciosamente máquinas con Windows desde al menos marzo de 2025. Utiliza VBScript, ejecución de PowerShell en memoria y enmascaramiento PEB para instalar la herramienta de monitoreo y gestión remota ConnectWise ScreenConnect en los sistemas de las víctimas. Una vez implementado, ScreenConnect otorga al atacante control total con teclado sobre el equipo comprometido
Utiliza VBScript, ejecución de PowerShell en memoria y mascaramiento PEB para instalar la herramienta de monitoreo y gestión remota ConnectWise ScreenConnect en los sistemas de las víctimas. Una vez desplegado, ScreenConnect le da al atacante control total con teclado sobre la máquina comprometida, lo que representa una grave amenaza para entornos corporativos en todo el mundo.
La infección comienza cuando un objetivo recibe un correo de phishing con un enlace que parece llevar a una invitación o propuesta legítima. Al hacer clic, la víctima es redirigida a una página de CAPTCHA de Cloudflare Turnstile que le pide verificar que es humano.
Una vez que se marca la casilla, un archivo VBScript llamado E-INVITE.vbs se descarga automáticamente en la máquina.
Los actores de amenazas han utilizado nombres de archivo convincentes como Proposal-03-2026.vbs para hacer que los señuelos parezcan creíbles y reducir la guardia de la víctima antes de la ejecución.
.webp)
Investigadores de Elastic Security Labs identificaron la campaña a principios de marzo de 2026 después de que una infección estilo living-off-the-land generara múltiples alertas de comportamiento en un corto período.
La descarga inicial del VBScript activó una regla de detección de Script de Windows sospechoso descargado de Internet, lo que dio a los analistas un punto de pivote para rastrear la infección utilizando los campos de URL de origen del archivo.
El VBScript estaba alojado en el almacenamiento r2.dev de Cloudflare, mientras que la carga útil en C# se obtenía desde Google Drive, dos plataformas confiables que la mayoría de las defensas de red probablemente no bloquearían.
SILENTCONNECT se mezcla con la actividad normal de Windows para pasar desapercibido. El VBScript utiliza un cuento infantil como señuelo mientras oculta instrucciones reales dentro de las funciones Replace y Chr.
Cuando se decodifica, ejecuta un comando de PowerShell que usa el curl.exe integrado para descargar un archivo fuente en C#, lo compila en tiempo de ejecución a través de Add-Type y lo ejecuta completamente en memoria.
Dado que ningún ejecutable malicioso se escribe en el disco, la mayoría de las herramientas de seguridad de endpoints tienen dificultades para detectar este comportamiento en tiempo real.
%20and%20Replace()%20functions%20(Source%20-%20Elastic).webp)
La infraestructura del actor de amenazas también revela un patrón consistente. Un correo de phishing en VirusTotal con el asunto YOU ARE INVITED fue rastreado hasta dan@checkfirst[.]net[.]au, suplantando una propuesta de proyecto de una empresa falsa.
El atacante reutilizó la misma ruta URI — download_invitee.php — en múltiples sitios web comprometidos, lo que resultó ser un error de OPSEC, permitiendo a los investigadores mapear toda la infraestructura de la campaña a través de búsquedas específicas en VirusTotal.
Mascaramiento PEB y Evasión de Defensas
Una vez que se ejecuta el cargador .NET, SILENTCONNECT actúa rápidamente para desaparecer de la vista de las herramientas de seguridad. Después de dormir durante 15 segundos, asigna memoria ejecutable a través de NtAllocateVirtualMemory y copia un pequeño fragmento de shellcode en esa región.
.webp)
Este shellcode recupera la dirección del Process Environment Block, una estructura de Windows que rastrea todos los módulos cargados en un proceso en ejecución, permitiendo que el malware opere a un nivel bajo del sistema mientras evita las llamadas a API comúnmente monitoreadas.
Con la dirección del PEB en mano, SILENTCONNECT realiza mascaramiento PEB localizando su propia entrada en la lista de módulos y sobrescribiendo tanto los campos BaseDLLName como FullDllName para mostrar winhlp32.exe y c:\windows\winhlp32.exe.
.webp)
Dado que muchas soluciones EDR dependen de los datos del PEB como referencia confiable al identificar procesos sospechosos, este cambio de nombre disfraza al cargador como una utilidad de ayuda de Windows inofensiva, haciéndolo casi invisible para la detección automatizada.
Antes de instalar ScreenConnect, el cargador ejecuta un bypass de UAC a través de la interfaz COM CMSTPLUA, almacena sus parámetros en orden inverso como ofuscación y agrega silenciosamente una exclusión de Microsoft Defender para archivos .exe.
.webp)
Luego descarga el MSI de ScreenConnect desde bumptobabeco[.]top a través de curl.exe, lo instala mediante msiexec.exe y lo configura como un servicio de Windows que se conecta al servidor del atacante a través del puerto TCP 8041.
Las organizaciones deberían auditar rutinariamente sus entornos en busca de implementaciones no autorizadas de RMM y monitorear el tráfico saliente hacia direcciones de servidores ScreenConnect desconocidas.
Los equipos de seguridad deberían marcar comandos de PowerShell que combinen Add-Type con descargas remotas, alertar sobre archivos VBScript obtenidos de Internet y vigilar cambios inesperados en las exclusiones de Defender.
El seguimiento de llamadas a NtAllocateVirtualMemory desde procesos .NET también puede ayudar a detectar esta amenaza antes de que alcance un compromiso total.
Fuentes:
https://cybersecuritynews.com/silentconnect-uses-vbscript-powershell/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.