{"id":246450,"date":"2022-10-19T22:19:17","date_gmt":"2022-10-19T22:19:17","guid":{"rendered":"https:\/\/magazineoffice.com\/operadores-de-malware-imprudentes-desperdiciaron-una-puerta-trasera-de-windows-indetectable\/"},"modified":"2022-10-19T22:19:19","modified_gmt":"2022-10-19T22:19:19","slug":"operadores-de-malware-imprudentes-desperdiciaron-una-puerta-trasera-de-windows-indetectable","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/operadores-de-malware-imprudentes-desperdiciaron-una-puerta-trasera-de-windows-indetectable\/","title":{"rendered":"Operadores de malware imprudentes desperdiciaron una puerta trasera de Windows \u00abindetectable\u00bb"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<p>Una puerta trasera \u201ctotalmente indetectable\u201d ha salido a la luz gracias al malware<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span> comportamiento imprudente de los operadores. <\/p>\n<p>Los investigadores de seguridad cibern\u00e9tica de SafeBreach Labs afirman haber detectado una nueva puerta trasera de PowerShell que, cuando se ejecuta correctamente, brinda a los atacantes acceso remoto a puntos finales comprometidos.  A partir de ah\u00ed, los atacantes podr\u00edan lanzar todo tipo de ataques de etapa dos, desde ladrones de informaci\u00f3n hasta ransomware.<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span>y todo lo dem\u00e1s.<\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<p>Seg\u00fan el informe, un actor de amenazas desconocido cre\u00f3 un documento de Word armado, llamado \u00abApplyForm[.]docm\u201d.  Llevaba una macro que, si se activaba, iniciaba un script de PowerShell desconocido. <\/p>\n<h2 id=\"dropping-the-ball-with-scripts\">Dejar caer la pelota con guiones<\/h2>\n<p>\u00abLa macro suelta updater.vbs, crea una tarea programada que finge ser parte de una actualizaci\u00f3n de Windows, que ejecutar\u00e1 el script updater.vbs desde una carpeta de actualizaci\u00f3n falsa en &#8216;%appdata%localMicrosoftWindows\u00bb, explicaron los investigadores. .<\/p>\n<p>Updater.vbs luego ejecutar\u00eda un script de PowerShell que le dar\u00eda acceso remoto al atacante. <\/p>\n<p>Antes de ejecutar la tarea programada, el malware genera dos scripts de PowerShell: Script.ps1 y Temp.ps1.  El contenido se oculta y se coloca en cuadros de texto dentro del archivo de Word, que luego se guarda en el directorio de actualizaci\u00f3n falsa.  De esa forma, las soluciones antivirus no pueden identificar el archivo como malicioso.<\/p>\n<p>Script.ps1 se comunica con el servidor de comando y control para asignar una identificaci\u00f3n de v\u00edctima y recibir m\u00e1s instrucciones.  Luego, ejecuta el script Temp.ps1, que almacena informaci\u00f3n y ejecuta los comandos. <\/p>\n<p>El error que cometieron los atacantes fue emitir identificaciones de v\u00edctimas en una secuencia predecible, lo que permiti\u00f3 a los investigadores escuchar las conversaciones con el servidor C2.<\/p>\n<p>Si bien qui\u00e9n est\u00e1 detr\u00e1s del ataque sigue siendo un misterio, el documento de Word malicioso se carg\u00f3 desde Jordan a fines de agosto de este a\u00f1o y hasta ahora ha comprometido aproximadamente cien dispositivos, generalmente pertenecientes a personas que buscan nuevas oportunidades de empleo. <\/p>\n<p>Un lector de <em>El registro<\/em><span class=\"sr-only\">  (se abre en una pesta\u00f1a nueva)<\/span> describi\u00f3 su experiencia con la puerta trasera y ofreci\u00f3 consejos a las empresas que buscan mitigar el da\u00f1o que pueden causar las puertas traseras desconocidas. <\/p>\n<p>\u201cEjecuto un MSP y nos alertaron sobre esto el 3 de octubre.  El cliente era una organizaci\u00f3n ben\u00e9fica de 330 asientos y no lo vincul\u00e9 a este art\u00edculo espec\u00edfico hasta que lo le\u00ed esta ma\u00f1ana\u00bb.<\/p>\n<p>\u00abTienen confianza cero [ZT] y Ringfencing as\u00ed que, aunque la macro se ejecut\u00f3, no sali\u00f3 de Excel\u201d, dijeron.  \u00abUn recordatorio sutil para incorporar una soluci\u00f3n ZT en entornos cr\u00edticos, ya que puede detener cosas de d\u00eda cero como esta\u00bb.<\/p>\n<p>V\u00eda: El Registro<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-36<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una puerta trasera \u201ctotalmente indetectable\u201d ha salido a la luz gracias al malware (se abre en una pesta\u00f1a nueva) comportamiento imprudente de los operadores. Los investigadores de seguridad cibern\u00e9tica de&hellip;<\/p>\n","protected":false},"author":1,"featured_media":150721,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[56569,34436,53359,848,1557,5472,15863,73,5104],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/246450"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=246450"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/246450\/revisions"}],"predecessor-version":[{"id":246451,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/246450\/revisions\/246451"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/150721"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=246450"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=246450"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=246450"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}