{"id":501284,"date":"2023-03-07T21:03:48","date_gmt":"2023-03-07T21:03:48","guid":{"rendered":"https:\/\/magazineoffice.com\/una-falla-de-windows-de-dos-anos-esta-siendo-explotada-en-una-nueva-campana-de-phishing\/"},"modified":"2023-03-07T21:03:50","modified_gmt":"2023-03-07T21:03:50","slug":"una-falla-de-windows-de-dos-anos-esta-siendo-explotada-en-una-nueva-campana-de-phishing","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/una-falla-de-windows-de-dos-anos-esta-siendo-explotada-en-una-nueva-campana-de-phishing\/","title":{"rendered":"Una falla de Windows de dos a\u00f1os est\u00e1 siendo explotada en una nueva campa\u00f1a de phishing"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<p>Los piratas inform\u00e1ticos est\u00e1n abusando de una falla de dos a\u00f1os en la funci\u00f3n de Control de cuentas de usuario (UAC) de Windows para eludir la protecci\u00f3n de punto final y entregar malware<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span>dicen los investigadores.<\/p>\n<p>Los expertos en ciberseguridad de SentinelOne publicaron recientemente un nuevo informe que detalla c\u00f3mo los actores de amenazas est\u00e1n utilizando la falla UAC para atacar a las v\u00edctimas en Europa del Este con el troyano de acceso remoto (RAT) Remcos. <\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<p>En el informe, SentinelOne dice que el ataque comienza con el correo electr\u00f3nico de phishing habitual.  El correo electr\u00f3nico es corto y dirige a la v\u00edctima directamente a un archivo adjunto que dice ser una factura atrasada o urgente de manera similar.  Sin embargo, el archivo adjunto es un archivo tar.lz que contiene el ejecutable DBatLoader. <\/p>\n<h2 id=\"hiding-from-antivirus-programs\">Ocultarse de los programas antivirus<\/h2>\n<p>La elecci\u00f3n del formato es algo extra\u00f1a, BleepingComputer<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span> informes, y reduce las posibilidades de que las v\u00edctimas caigan en la trampa.  Sin embargo, tambi\u00e9n reduce las posibilidades de que la seguridad del correo electr\u00f3nico detecte el archivo adjunto, lo que quiz\u00e1s sea la raz\u00f3n por la que los actores de amenazas est\u00e1n optando por \u00e9l.<\/p>\n<p>Ejecutar el archivo adjunto hace dos cosas: primero, descarga una segunda carga \u00fatil de un servicio de nube p\u00fablica y luego crea un directorio de confianza simulado.<\/p>\n<p>Un directorio de confianza simulado, informa la publicaci\u00f3n, es una carpeta que se burla de uno en el que conf\u00eda el UAC, al tener un nombre casi id\u00e9ntico.  La \u00fanica diferencia es que tiene un espacio extra.  Entonces, por ejemplo, una carpeta simulada de \u00abC:WindowsSystem32\u00bb ser\u00eda \u00abC:WindowsSystem32\u00bb. <\/p>\n<p>Como el Explorador de archivos en Windows trata esta carpeta simulada de la misma manera que la leg\u00edtima (es decir, no activa la advertencia de UAC), los actores de amenazas pueden abusar de ella para ejecutar archivos maliciosos sin que se solicite confirmaci\u00f3n al usuario. <\/p>\n<p>Por lo tanto, el ejecutable DBatLoader implementar\u00eda un archivo exe leg\u00edtimo (easinvoker.exe) y una DLL maliciosa (netutils.dll) en el directorio de confianza simulado y los ejecutar\u00eda. <\/p>\n<p>Easinvoker.exe ejecutar\u00e1 la DLL maliciosa, sin que los usuarios sepan lo que sucedi\u00f3.  Finalmente, la DLL maliciosa ejecuta Remcos a trav\u00e9s de la inyecci\u00f3n de procesos, otorgando al actor de amenazas la capacidad de tomar capturas de pantalla y registrar pulsaciones de teclas. <\/p>\n<p>V\u00eda: BleepingComputer<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-36<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los piratas inform\u00e1ticos est\u00e1n abusando de una falla de dos a\u00f1os en la funci\u00f3n de Control de cuentas de usuario (UAC) de Windows para eludir la protecci\u00f3n de punto final&hellip;<\/p>\n","protected":false},"author":1,"featured_media":274095,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[1167,1268,538,148,36292,10261,254,24082,1570,73,5104],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/501284"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=501284"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/501284\/revisions"}],"predecessor-version":[{"id":501285,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/501284\/revisions\/501285"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/274095"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=501284"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=501284"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=501284"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}