Por primera vez se han detectado casos de almacenamiento de código malicioso en logs de Windows

0

Windows en alerta por almacenamiento de código malicioso

Expertos han descubierto una campaña de malware inusual. Utiliza registros de eventos de Windows para almacenar malware.

Además, los atacantes utilizan una amplia gama de técnicas, incluidas SilentBreak y CobaltStrike, herramientas legales de prueba de penetración. La cadena de infección también incluye un conjunto completo de módulos auxiliares, incluidos los escritos en Go.

Se utilizan para dificultar la detección de troyanos de último nivel. Anteriormente, los expertos no habían visto la técnica de ocultar código malicioso dentro de los registros de eventos de Windows. El módulo del archivo descargado por la víctima es responsable de la infección primaria del sistema.

Windows en alerta 

Algunos archivos están firmados con un certificado digital para aumentar su confianza. Esta cadena termina con varios troyanos para el control remoto de dispositivos infectados. Se diferencian tanto en la forma en que se transmiten los comandos (HTTP o canalizaciones con nombre) como en su conjunto.

Algunas versiones de troyanos tienen docenas de estos comandos. Además de usar dos herramientas comerciales a la vez y una gran cantidad de módulos, el shellcode encriptado se almacena en el registro de eventos de Windows. Tal técnica para ocultar la presencia de malware en el sistema podría agregarse a la matriz MITRE.

Miles de años después, el mito del caballo de Troya sigue vivo, aunque en una interpretación poco favorecedora. Una sofisticada astucia y maravilla de la ingeniería griega ha dado nombre a un grupo de herramientas digitales maliciosas cuyo único propósito es dañar discretamente las computadoras de las víctimas.

Por primera vez se han detectado casos de almacenamiento de código malicioso en logs de Windows

Lo hacen leyendo contraseñas, registrando pulsaciones de teclas o descargando otro malware que incluso puede apoderarse de toda la computadora. Pueden hacer lo siguiente:

  • Eliminación de datos
  • Bloqueo de datos
  • Cambiar datos
  • Copiar datos
  • Interrupción de computadoras y redes informáticas

Las puertas traseras son uno de los tipos de troyanos más simples pero potencialmente más peligrosos. Dichos programas pueden descargar todo tipo de programas maliciosos en el sistema, actuando como puerta de enlace, y también aumentan la vulnerabilidad de la computadora a los ataques.

Las puertas traseras se utilizan a menudo para crear botnets, donde, sin el conocimiento del usuario, las computadoras se vuelven parte de una red zombie utilizada para ataques. Además, las puertas traseras le permiten ejecutar códigos y comandos maliciosos en el dispositivo, así como monitorear el tráfico web.

Los exploits son programas que contienen datos o códigos que le permiten explotar una vulnerabilidad en una aplicación en su computadora. Los rootkits están diseñados para ocultar ciertos objetos o acciones en el sistema. Su objetivo principal es evitar que se detecte el malware y, en consecuencia, aumentar su tiempo de ejecución en el equipo infectado.

Comentar con su cuenta de Facebook