Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5309
)
-
▼
julio
(Total:
27
)
-
Múltiples vulnerabilidades de Apache Tomcat permit...
-
NotebookLM crea vídeos cortos desde tus apuntes
-
Claude Sonnet 5: más barata y potente
-
Anthropic reactiva Claude Fable 5 tras el levantam...
-
Citrix corrige seis vulnerabilidades de NetScaler ...
-
GIGABYTE lanza la AORUS RTX 5080 INFINITY
-
Actualización de Chrome corrige 382 vulnerabilidad...
-
Cientos de millones de intentos de Password Spray ...
-
Un coleccionista de tarjetas gráficas muestra cole...
-
Expertos en ciberseguridad pierden la fe en las he...
-
GuardFall revela que los agentes de IA de código a...
-
Explotan vulnerabilidad RCE en Langflow para despl...
-
Reserva tu nombre en WhatsApp
-
Claude Code de Anthropic usaría código oculto para...
-
X lanza servidores MCP para conectar Cursor, Claud...
-
IBM lidera con chip de 0,7 nm para IA
-
Expertos en seguridad engañaron a LLMs para obtene...
-
Usan malware SystemBC para ocultar tráfico C2 y ma...
-
Nueva puerta trasera de Windows Mistic permite eje...
-
Vulnerabilidades en AirDrop y Quick Share permiten...
-
Ford vuelve a contratar humanos tras fallos de la IA
-
Apple se quedará sin memorias de CXMT al priorizar...
-
IA reemplazará antes a programadores que a camioneros
-
Donkey Kong 64 llega a PC este verano
-
Vulnerabilidad de SimpleHelp explotada para desple...
-
Microsoft extiende la disponibilidad de hotpatchin...
-
AMD avisa a sus socios: las GPU Radeon volverían a...
-
-
▼
julio
(Total:
27
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Diez sitios web permiten conseguir eBooks gratuitos de forma legal como complemento ideal para los lectores de libros electrónicos.
-
Han logrado ejecutar Windows 11 en un PC antiguo con memoria DDR1, Core 2 Quad y gráfica AGP , superando las restricciones de hardware del ...
-
Selección de 75 juegos para PC con pocos requisitos y buenos gráficos, ideales para disfrutar en equipos antiguos sin necesidad de actuali...
Usan malware SystemBC para ocultar tráfico C2 y mantener acceso persistente
Una herramienta de ciberataque que convierte silenciosamente los ordenadores de las víctimas en túneles para tráfico criminal ha estado ganando terreno en las redes empresariales. Investigadores de seguridad la han vinculado con algunas de las operaciones de ransomware más destructivas de los últimos años.
Conocido como SystemBC, este malware ayuda a los actores de amenazas a mantener un punto de apoyo oculto dentro de los sistemas objetivo mientras redirige tráfico dañino a través de hosts desprevenidos.
SystemBC, también rastreado bajo el alias Coroxy, es un malware de Windows que funciona como proxy SOCKS5, puerta trasera (backdoor) y herramienta de acceso remoto, todo en uno.
Se observó por primera vez alrededor de 2018 y 2019, cuando apareció como una carga útil entregada por los kits de exploits RIG y Fallout. Desde entonces, se ha convertido en un arma ampliamente disponible, vendida en foros clandestinos y adoptada por docenas de grupos criminales.
Analistas de Picus identificaron a SystemBC como una puerta trasera persistente y un proxy que convierte las máquinas infectadas en túneles de tráfico mientras ejecuta comandos, scripts y binarios desde un servidor controlado por el atacante.
Picus dijo en un informe que el malware ha sido vinculado a familias de ransomware como Ryuk, Egregor, Conti, BlackBasta, Play y Rhysida, consolidando su papel en algunas de las intrusiones más dañinas de los últimos años.
Lo que hace que SystemBC sea especialmente peligroso es la facilidad con la que se mezcla con el tráfico normal de la red. Debido a que redirige las comunicaciones de otros malwares a través de hosts infectados, los defensores a menudo no pueden distinguir estas conexiones de la actividad legítima.
Esta capacidad de sigilo lo ha convertido en la opción preferida de los operadores de ransomware que necesitan moverse discretamente antes de entregar una carga útil destructiva.
El malware se empareja frecuentemente con cargadores (loaders) como Buer, QBot y Emotet para obtener acceso inicial antes de que SystemBC se despliegue a niveles más profundos.
Una vez instalado, ofrece a los atacantes un canal fiable para enviar herramientas, ejecutar scripts y mantener el control persistente. Su pequeña huella y diseño modular lo hacen efectivo tanto en entornos de pequeñas empresas como en grandes corporaciones.
Utilizan el malware SystemBC
En esencia, SystemBC establece una conexión cifrada con un servidor de comando y control (C2), tunelizando el tráfico a través de las víctimas de manera que evade la detección estándar.
Las versiones iniciales utilizaban protocolos TCP puros y SOCKS5, pero las versiones más recientes han migrado hacia Tor, utilizando un cliente que se asemeja a la biblioteca de código abierto mini-tor. Este cambio dificulta la detección, ya que el tráfico de Tor se mezcla con la actividad normal en muchos sistemas.
El malware incrusta direcciones de puerta de enlace de autoridad de directorio de Tor directamente en su binario, incluyendo 193.23.244.244, 86.59.21.38, 199.58.81.140 y 204.13.164.118.
Al contactar con su servidor C2, SystemBC envía un paquete de 100 bytes donde los primeros 50 bytes contienen una clave RC4 en texto plano y los 50 restantes llevan los detalles del host y del usuario cifrados con RC4. Esto hace que sea considerablemente más difícil para los analistas interpretar qué está transmitiendo el malware.
Más allá de actuar como proxy, SystemBC opera como un motor de ejecución remota capaz de ejecutar archivos EXE, módulos DLL, shellcode, y scripts VBS, BAT, CMD y PowerShell enviados desde el C2.
También puede ejecutar cargas útiles directamente en la memoria sin escribir archivos en el disco, reduciendo la evidencia forense dejada en cualquier host comprometido.
Técnicas de persistencia y flujo de ataque
SystemBC rara vez llega como la primera herramienta en una intrusión. Normalmente se suelta después de que un cargador obtiene acceso, y luego se introduce más profundamente en la red una vez que los atacantes han recopilado credenciales y capacidad de movimiento lateral.
En un caso documentado, se colocó en un controlador de dominio durante un ataque de ransomware Ryuk, otorgando a los operadores el control remoto sobre el servidor más crítico.
Una vez ejecutado, el malware comprueba si ya se está ejecutando y, si no es así, se copia a sí mismo en una carpeta con nombre aleatorio bajo ProgramData. Se registra tanto como una tarea programada como una entrada en la clave Run del registro, creando dos capas de persistencia que sobreviven a los reinicios.
Los equipos de seguridad deben estar atentos a tareas programadas con nombres aleatorios, entradas inesperadas de registro en CurrentVersion Run y tráfico anómalo saliente de Tor o SOCKS5.
Se recomienda encarecidamente la detección basada en el comportamiento en lugar de solo el escaneo de firmas, ya que la ejecución en memoria y el nombre de archivo aleatorio de SystemBC pueden evadir las herramientas antivirus tradicionales.
Simular estas técnicas de ataque en tu propio entorno sigue siendo una de las formas más prácticas de encontrar brechas de seguridad antes de que lo hagan los atacantes.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Dirección IP | 193.23.244.244 | Puerta de enlace de autoridad de directorio de Tor incrustada en el binario de SystemBC |
| Dirección IP | 86.59.21.38 | Puerta de enlace de autoridad de directorio de Tor incrustada en el binario de SystemBC |
| Dirección IP | 199.58.81.140 | Puerta de enlace de autoridad de directorio de Tor incrustada en el binario de SystemBC |
| Dirección IP | 204.13.164.118 | Puerta de enlace de autoridad de directorio de Tor incrustada en el binario de SystemBC |
| Clave de Registro | HKCU\Software\Microsoft\Windows\CurrentVersion\Run | Clave de registro Run de persistencia de SystemBC (nombre del valor: socks5) |
| Ruta de Archivo | %ProgramData%[aleatorio][aleatorio].exe | Ruta de persistencia de autocopia de SystemBC |
| Ruta de Archivo | C:\Windows\Tasks[aleatorio].job | Archivo de tarea programada creado por SystemBC para persistencia |
| Ruta de Archivo | %TEMP%[aleatorio].exe | Ubicación temporal utilizada por SystemBC al desplegar cargas útiles |
| Dominio DNS | ns1.vic.au.dns.opennic[.]glue | Servidor DNS alternativo utilizado por SystemBC para resolución de dominios .bit |
| Dominio DNS | ns2.vic.au.dns.opennic[.]glue | Servidor DNS alternativo utilizado por SystemBC para resolución de dominios .bit |
Nota: Las direcciones IP y los dominios han sido desactivados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/hackers-use-systembc-malware-to-hide-c2-traffic/


Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.