{"id":584684,"date":"2023-04-20T22:45:00","date_gmt":"2023-04-20T22:45:00","guid":{"rendered":"https:\/\/magazineoffice.com\/este-malware-maligno-desactiva-su-software-de-seguridad-y-luego-va-a-matar\/"},"modified":"2023-04-20T22:45:05","modified_gmt":"2023-04-20T22:45:05","slug":"este-malware-maligno-desactiva-su-software-de-seguridad-y-luego-va-a-matar","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/este-malware-maligno-desactiva-su-software-de-seguridad-y-luego-va-a-matar\/","title":{"rendered":"Este malware maligno desactiva su software de seguridad y luego va a matar"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<p>Los piratas inform\u00e1ticos est\u00e1n utilizando una herramienta completamente nueva para deshabilitar los programas antivirus instalados en los dispositivos, antes de implementar malware m\u00e1s dudoso y, a veces, incluso ransomware, advirtieron los investigadores.<\/p>\n<p>Los investigadores de ciberseguridad de Sophos X-Ops observaron recientemente a los actores de amenazas que utilizan el m\u00e9todo Bring Your Own Vulnerable Driver (BYOVD) para implementar una herramienta llamada AuKill, capaz de deshabilitar los programas de seguridad. <\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<p>Primero, deben colocar un controlador leg\u00edtimo pero vulnerable en el punto final de destino.  Esto generalmente se hace a trav\u00e9s de ataques por correo electr\u00f3nico, distribuyendo el controlador a trav\u00e9s de correos electr\u00f3nicos de phishing.  El controlador, capaz de ejecutarse con privilegios de kernel, se llama procexp.sys y generalmente se entrega junto al actual, utilizado por Process Explorer v16.32 de Microsoft (un programa leg\u00edtimo que recopila datos sobre procesos activos de Windows). <\/p>\n<h2 id=\"bring-your-own-vulnerable-driver\">Traiga su propio conductor vulnerable<\/h2>\n<p>Una vez que el programa leg\u00edtimo ejecuta la DLL maliciosa, primero verificar\u00e1 si se est\u00e1 ejecutando con privilegios de SISTEMA y se asegurar\u00e1 de que lo haga haci\u00e9ndose pasar por el instalador de m\u00f3dulos de Windows TrustedInstaller.  Luego, inicia m\u00faltiples subprocesos, probando y deshabilitando varios procesos y servicios de seguridad.<\/p>\n<p>Despu\u00e9s de deshabilitar los programas de seguridad en la computadora, los operadores de AuKill implementar\u00e1n malware de etapa dos.  Seg\u00fan el informe de Sophos X-Ops, a veces los actores de amenazas implementar\u00e1n Medusa Locker o LockBit, ambas variantes de ransomware extremadamente potentes y populares. <\/p>\n<p>\u00abLa herramienta se utiliz\u00f3 durante al menos tres incidentes de ransomware desde principios de 2023 para sabotear la protecci\u00f3n del objetivo e implementar el ransomware\u00bb, advirtieron los investigadores.  \u00abEn enero y febrero, los atacantes implementaron el ransomware Medusa Locker despu\u00e9s de usar la herramienta; en febrero, un atacante us\u00f3 AuKill justo antes de implementar el ransomware Lockbit\u00bb.<\/p>\n<p>Si bien la herramienta parece relativamente nueva y acaba de ser vista, una de sus variantes lleva una marca de tiempo de noviembre de 2022.  La versi\u00f3n m\u00e1s reciente descubierta se compil\u00f3 a mediados de febrero, concluyen los investigadores.  Su c\u00f3digo es similar al de Backstab, una herramienta de c\u00f3digo abierto que tambi\u00e9n es capaz de deshabilitar programas antivirus.  Los investigadores han visto a los operadores de LockBit implementar Backstab en el pasado. <\/p>\n<p>\u00abHemos encontrado m\u00faltiples similitudes entre la herramienta de c\u00f3digo abierto Backstab y AuKill\u00bb, dice el equipo de Sophos.  \u00abAlgunas de estas similitudes incluyen cadenas de depuraci\u00f3n caracter\u00edsticas similares y una l\u00f3gica de flujo de c\u00f3digo casi id\u00e9ntica para interactuar con el controlador\u00bb.<\/p>\n<p>V\u00eda: BleepingComputer<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-36<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los piratas inform\u00e1ticos est\u00e1n utilizando una herramienta completamente nueva para deshabilitar los programas antivirus instalados en los dispositivos, antes de implementar malware m\u00e1s dudoso y, a veces, incluso ransomware, advirtieron&hellip;<\/p>\n","protected":false},"author":1,"featured_media":584685,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[9720,87,5917,87278,848,6641,388,6877],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/584684"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=584684"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/584684\/revisions"}],"predecessor-version":[{"id":584686,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/584684\/revisions\/584686"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/584685"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=584684"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=584684"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=584684"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}