Una nueva versión del malware ‘sin archivos’: código malicioso en los registros de eventos de Windows

Una nueva versión del malware ‘sin archivos’: código malicioso en los registros de eventos de Windows


Categorías: Destacada, Tecnología
Etiquetas:

Una nueva versión del malware ‘sin archivos’: código malicioso en los registros de eventos de Windows

Los expertos de Kaspersky descubrieron en una investigación reciente una campaña de malware dirigido. La actividad destaca por su innovador uso de los registros de eventos de Windows para el almacenamiento de malware o la impresionante variedad de técnicas de los atacantes -como las suites comerciales de pentesting y los wrappers antidetección, incluidas los compilados con Go-. Durante la campaña se emplean diversos troyanos de última fase

Los expertos de Kaspersky han detectado una campaña de malware dirigido que utiliza una técnica única, ocultando malware «sin archivos» dentro de los registros de eventos de Windows. La infección inicial del sistema se lleva a cabo a través del módulo dropper de un archivo descargado por la víctima. El atacante utiliza una variedad de wrappers antidetección sin precedentes para que los troyanos sean aún menos visibles en la última etapa. Para evitar todavía más la detección, algunos módulos han sido firmados con un certificado digital.

Los atacantes emplearon dos tipos de troyanos para la última etapa con el fin de obtener un mayor acceso al sistema. Los servidores de Comando y Control (C&C) entregan de dos maneras: a través de HTTP y mediante el uso de named pipes. Algunas versiones de troyanos consiguieron utilizar un sistema de comandos que contenía docenas de comandos desde el C2.

La campaña también incluía herramientas comerciales de pentesting, concretamente SilentBreak y CobaltStrike, combinando así técnicas conocidas con descifradores personalizados. Asimismo, es la primera vez que se observa el uso de los registros de eventos de Windows para ocultar códigos Shell en el sistema.

«Fuimos testigos de una nueva técnica de malware dirigido que llamó nuestra atención. Para el ataque, el atacante guardó y luego ejecutó un shellcode cifrado a partir de los registros de eventos de Windows. Se trata de un enfoque que nunca habíamos visto antes y que pone de manifiesto la importancia de estar al tanto de las amenazas que, de otro modo, podrían pillarnos desprevenidos. Creemos que merece la pena añadir la técnica de los registros de eventos a la sección de ‘evasión de la defensa’ de la matriz MITRE en su parte de ‘ocultar artefactos. El uso de varias suites de pentesting comerciales tampoco es algo que se vea todos los días», afirma Denis Legezo, investigador principal de seguridad de Kaspersky.

https://box.kaspersky.com/f/3ad09bb5e61c48fc8ffb/?dl=1

Para protegerse del malware ‘sin archivos’ y otras amenazas similares, Kaspersky recomienda:

Descubre más en Securelist.com

. Leer artículo completo en Frikipandi Una nueva versión del malware ‘sin archivos’: código malicioso en los registros de eventos de Windows.

Entradas recientes para Una nueva versión del malware ‘sin archivos’: código malicioso en los registros de eventos de Windows

  1. Una leyenda de Mercedes en la F1 llega a Gran Turismo 7 en su nueva actualización
  2. Microsoft Flight Simulator 2024 ya está disponible
  3. Need for Speed Unbound Vol. 9: Prepare for Lockdown
  4. JUEGA GRATIS A EA SPORTS F1 24 TODO EL FIN DE SEMANA
  5. Canva presenta las tendencias creativas que dominarán la industria del diseño gráfico en 2025
Salir de la versión móvil