Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2777
)
-
▼
abril
(Total:
452
)
-
Microsoft implementa nuevas protecciones en Window...
-
Fallo crítico en etcd permite acceso no autorizado...
-
Meta y Broadcom preparan varias generaciones de ch...
-
Lexar: los usuarios toleran mejor los recortes de ...
-
Valve podría añadir un seguimiento de precios de 3...
-
OpenAI lanza GPT-5.4 con funciones de ingeniería i...
-
Los precios de tarjetas de memoria y unidades flas...
-
Temperaturas Transceptores SFP+
-
Rust para Linux 7.1 añade una función en pruebas d...
-
Usan instalador falso de Proxifier en GitHub para ...
-
Amazon compra la firma de satélites Globalstar par...
-
ONEXPLAYER X2 Mini: Consola (handheld) con panel O...
-
Navegadores con LLM autónomos abren nuevas vías pa...
-
Actualizaciones de seguridad de ABRIL para todas l...
-
NVIDIA Ising, así es IA abierta para calibrar y co...
-
OpenAI rota certificados de firma en macOS tras ej...
-
Los bloqueos de Movistar se extienden y llegan a l...
-
OpenAI anuncia GPT-5.4-Cyber: modelo de IA centrad...
-
El gran problema de la IA no es la tecnología: es ...
-
PS6 Lite podría utilizar la misma base técnica que...
-
La tríada vinculada a FUNNULL reaparece con más de...
-
ShinyHunters filtra los archivos robados a Rocksta...
-
Eric Yuan, CEO de Zoom, lo tiene claro: "Odio trab...
-
La mitad de los empleados en EE.UU. ya usan inteli...
-
Medios bloquean a Wayback Machine por temor a uso ...
-
Una IA china ha resuelto un problema matemático si...
-
¿Pueden los videojuegos ser Patrimonio de la Human...
-
Mark Zuckerberg supuestamente crea un clon de IA d...
-
ASUS TUF Gaming B850I WiFi NEO: la placa base Mini...
-
Nuevo gusano USB PlugX se propaga en varios contin...
-
Un amplio grupo de expertos advierte a Meta que su...
-
Abril trae un Patch Tuesday masivo
-
DAC vs AOC vs Fibra
-
Tras más de 30 años Microsoft elimina la limitació...
-
¿Cuándo utilizar Fibra óptica SPF y cuando RJ45 de...
-
Anthropic responde con una gran actualización de s...
-
Google estrena los Skills de Gemini en Chrome: una...
-
La iGPU del Intel Core Ultra 5 250K Plus es más po...
-
52 núcleos, DDR5-8000 y TDP de 175 W: los nuevos p...
-
Vulnerabilidad crítica RCE en FortiClient EMS
-
Booking.com confirma filtración de datos: accedier...
-
Si usas Gemini y ya te cansaste de repetir prompts...
-
Miles de usuarios reportan que sus Amazon Fire TV ...
-
Mythos Claude de Anthropic podría ser el mejor mod...
-
La IA de Claude Mythos ya puede hackear una empres...
-
Fortinet corrige 11 vulnerabilidades en FortiSandb...
-
La Exposición Internacional de Modelismo y Videoju...
-
Basic-Fit hackeada, han robado los datos de los cl...
-
Vulnerabilidades en Ivanti Neurons for ITSM permit...
-
Windows 11 te dejará llegar al escritorio sin trag...
-
La conexión PCIe 5.0 x16 completa de CopprLink log...
-
Miles de emails en borrador en Outlook y Hotmail: ...
-
CISA alerta sobre vulnerabilidades explotadas en M...
-
Nvidia desmiente rumor de compra de un gran fabric...
-
Adaptador PCIe de menos de 30$ convierte las tarje...
-
Irán supera las 1.000 horas sin Internet, en lo qu...
-
YMTC planea dos fábricas adicionales en Wuhan, seg...
-
Claude cambia sus límites de uso y los mensajes se...
-
Dejan al descubierto botnet de relleno de credenci...
-
Trisquel 12: nueva versión de la distribución libr...
-
Intel prepara una CPU de 16 núcleos con gráficos i...
-
Windows 11 ya no obliga a instalar actualizaciones...
-
Asus lanza en España el ROG Zephyrus Duo, su portá...
-
Android prepara su propia versión de AirDrop
-
Desarrollador veterano de Windows exhibe IA en una...
-
EE.UU. crea el Destacamento 201. Ha fichado a dire...
-
La FAA aprueba el uso militar de armas láser antid...
-
China ha gastado 3,6 veces más que EE.UU. en subsi...
-
Nvidia afirma que la IA reduce una tarea de diseño...
-
La generación Z tiene un plan para que la IA no le...
-
Especificaciones de los Intel Core Ultra 400 Nova ...
-
China ha descubierto el negocio perfecto: venderle...
-
Honda visita una fábrica de coches china: "No pode...
-
Mozilla critica a Microsoft por instalar Copilot e...
-
OneXPlayer Super V: la tablet-PC 2 en 1 con CPU I...
-
Caja PC "Superdomo" -20 grados de temperatura — 60...
-
Anthropic avisa: la IA empieza a separar a los que...
-
Vulnerabilidades en Apache Tomcat permiten eludir ...
-
Investigador de Google TurboQuant expresó estar im...
-
Vulnerabilidad crítica en Axios permite ejecución ...
-
Super Mario Galaxy: La película encabeza la taquil...
-
Nike enfrenta polémica por defectos en las camiset...
-
Japón lanza un ambicioso plan para ser un gigante ...
-
Hackeo a Basic-Fit expone los datos personales y b...
-
Pequeña ciudad de Misuri destituye a la mitad de s...
-
Claude AI sufre caídas para cientos de usuarios co...
-
OpenAI detecta una brecha de seguridad en el proce...
-
Vulnerabilidad RCE de Marimo explotada en menos de...
-
Nginx 1.29.8 y FreeNginx publicados con actualizac...
-
XChat: la nueva plataforma de mensajería de Elon Musk
-
El kernel de Linux 7.0 ya está disponible para des...
-
NZXT y Fragile ceden ante la demanda colectiva por...
-
Dave Plummer, mítico ingeniero de Microsoft, asegu...
-
MSI Cubi NUC TWG, otro mini-PC
-
Linus Torvalds y los responsables del kernel de Li...
-
Explotación activa de un RCE crítico en Marimo
-
DIGI pierde el control en España y Europa de su ca...
-
Dario Amodei, CEO de Anthropic: “Entiendo las vent...
-
RPCS3 ya funciona casi como una PS3 real: permite ...
-
Anthropic lleva a su IA Claude Mythos a terapia re...
-
-
▼
abril
(Total:
452
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Google y Back Market lanzan ChromeOS Flex USB , un kit para recuperar PCs antiguos y combatir la obsolescencia electrónica , facilitando s... -
El sector tecnológico enfrenta una grave crisis en 2026 con casi 80.000 despidos en el primer trimestre , donde la IA es responsable de casi... -
Investigadores de seguridad en Pwn2Own Automotive 2026 demostraron 76 vulnerabilidades únicas de día cero en cargadores de vehículos eléct...
DesckVB RAT usa JavaScript ofuscado y cargador .NET sin archivos para evadir detección
Un nuevo Troyano de Acceso Remoto conocido como DesckVB ha estado atacando sistemas en 2026, utilizando JavaScript ofuscado y un cargador .NET sin archivos para permanecer oculto de las herramientas de seguridad tradicionales. El malware otorga a los atacantes control remoto total sobre la máquina de la víctima, convirtiéndolo en una grave amenaza tanto para individuos como para organizaciones.
Un nuevo Troyano de Acceso Remoto (RAT) conocido como DesckVB ha estado atacando sistemas en 2026, utilizando JavaScript ofuscado y un cargador .NET sin archivos para permanecer oculto de las herramientas de seguridad tradicionales.
El malware otorga a los atacantes control remoto completo sobre la máquina de una víctima, convirtiéndolo en una amenaza grave tanto para individuos como para organizaciones.
El RAT DesckVB inicia su cadena de infección con un archivo JavaScript altamente ofuscado que, una vez ejecutado, deposita silenciosamente un script de PowerShell en el directorio C:\Users\Public del sistema objetivo.
El JavaScript replica su código en archivos de PowerShell y texto, dando al malware múltiples formas de ejecutarse. Lo que hace que esta amenaza sea particularmente peligrosa es que evita escribir la mayoría de sus componentes principales en el disco, lo que dificulta su detección por parte de las herramientas antivirus convencionales.
Analistas de Point Wild del Equipo de Inteligencia de Amenazas LAT61 identificaron y examinaron el RAT DesckVB en detalle, descubriendo cómo utiliza capas de ofuscación para ocultar su verdadero propósito en cada etapa de ejecución.
Su investigación reveló que el malware combina codificación Base64 con inversión de cadenas de URL para ocultar las direcciones de sus servidores de comando y control (C2), una táctica diseñada para engañar a las herramientas de escaneo automatizadas.
La estructura general del malware sugiere que fue construido con un claro entendimiento de cómo funcionan las defensas de seguridad modernas.
Una vez desplegado por completo, DesckVB RAT carga un ensamblado .NET directamente en la memoria utilizando técnicas de reflexión de .NET, evitando la necesidad de dejar archivos en el disco duro.
Este método de ejecución en memoria permite que el malware ejecute sus rutinas dañinas sin activar muchos sistemas de detección basados en archivos.
En tiempo de ejecución, el malware activa varias capacidades dañinas, incluyendo keylogging, acceso a la cámara web, evasión de detección de antivirus y comunicación cifrada con su servidor C2.
El impacto general del RAT DesckVB es amplio y preocupante. Los atacantes que lo despliegan pueden robar información sensible, monitorear la actividad del usuario en tiempo real y mantener acceso a largo plazo a un sistema comprometido sin levantar alarmas inmediatas.
Su uso de tráfico HTTPS cifrado a través del puerto 443 le permite mezclarse con la actividad normal de Internet, haciendo que la detección a nivel de red sea igual de difícil.
La Cadena de Infección sin Archivos
El aspecto más notable del RAT DesckVB es cómo avanza a través de sus etapas de infección sin depender de la caída de archivos tradicionales. El flujo del malware comienza con el archivo JavaScript, actuando como el primer punto de entrada.
.webp)
Este archivo está altamente ofuscado y deposita un archivo de PowerShell directamente en C:\Users\Public, manteniendo sus actividades en carpetas del sistema comúnmente pasadas por alto.
.webp)
El script de PowerShell primero verifica la conectividad a Internet haciendo ping a Google, luego intenta conectarse a un dominio externo malicioso. El dominio C2 está oculto utilizando codificación Base64 combinada con inversión de cadenas.
El malware utiliza la herramienta legítima de Windows InstallUtil.exe para ejecutar su carga útil —una técnica conocida para eludir las políticas de control de aplicaciones—.
A partir de ahí, el script carga ClassLibrary3.dll directamente en memoria e invoca el método ofuscado prFVI, que luego carga ClassLibrary1.dll.
El método Execute dentro de este cargador utiliza CreateProcessA para generar un nuevo proceso en estado suspendido antes de inyectar la carga maliciosa.
.webp)
Este enfoque de inyección de procesos permite que el malware se oculte dentro de procesos confiables y evite llamar la atención.
.webp)
La carga final, Microsoft.exe, lleva matrices de cadenas codificadas que contienen una configuración de tiempo de ejecución oculta. Una vez activo, deposita Keylogger.dll directamente en memoria e inicia la comunicación C2 a través de manikandan83.mysynology.net en el puerto 7535, resolviendo a la IP 45.156.87.226.
Capturas de red confirman que el malware transmite los nombres de sus módulos y su actividad interna a su servidor remoto.
Los equipos de seguridad deben estar atentos a la ejecución inusual de PowerShell, el uso inesperado de InstallUtil.exe y conexiones salientes a dominios o IPs desconocidos.
Bloquear la ejecución de scripts desde C:\Users\Public y habilitar el registro detallado de scripts de PowerShell son pasos prácticos para detectar esta amenaza a tiempo.
Mantener actualizado el software de protección de endpoints también sigue siendo una defensa crítica, ya que las herramientas de detección ya han demostrado la capacidad de marcar componentes clave de este malware.
Fuentes:
https://cybersecuritynews.com/desckvb-rat-uses-obfuscated-javascript/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.