el más reciente

― Advertisement ―

Relacionada

TikTok se apaga en los EE. UU. cuando la prohibición federal...

La popular red social para compartir vídeos TikTok dejará de funcionar oficialmente en los Estados Unidos en 2025, ya que la prohibición federal de...
spot_img
InicioTecnologíaFuncionarios tailandeses atacados en la campaña de puerta trasera de Yokai utilizando...

Funcionarios tailandeses atacados en la campaña de puerta trasera de Yokai utilizando técnicas de carga lateral de DLL

Los funcionarios del gobierno tailandés se han convertido en el objetivo de una nueva campaña que aprovecha una técnica llamamiento carga supletorio de DLL para ofrecer una puerta trasera previamente indocumentada denominada Yokai.

«El objetivo de los actores de la amenaza eran funcionarios de Tailandia conveniente a la naturaleza de los señuelos», dijo a The Hacker News Nikhil Hegde, ingeniero senior del equipo de Fuerza de Seguridad de Netskope. «La puerta trasera Yokai en sí no está limitada y puede estar de moda contra cualquier objetivo potencial».

El punto de partida de la dependencia de ataque es un archivo RAR que contiene dos archivos de camino directo de Windows nombrados en tailandés que se traducen como «Área de Imparcialidad de los Estados Unidos.pdf» y «El gobierno de los Estados Unidos solicita cooperación internacional en asuntos penales.docx».

Actualmente se desconoce el vector auténtico exacto utilizado para entregar la carga útil, aunque Hegde especuló que probablemente se trataría de phishing conveniente a los señuelos empleados y al hecho de que los archivos RAR se han utilizado como archivos adjuntos maliciosos en correos electrónicos de phishing.

Al iniciar los archivos de camino directo, se abre un documento señuelo en PDF y Microsoft Word, respectivamente, y al mismo tiempo se coloca sigilosamente un ejecutable taimado en segundo plano. Uno y otro expedientes se relacionan con Woravit Mektrakarn, un ciudadano tailandés buscado en Estados Unidos en relación con la desaparición de un inmigrante mexicano. Mektrakarn fue destacado de homicidio en 2003 y se dice que huyó a Tailandia.

El ejecutable, por su parte, está diseñado para eliminar tres archivos más: un binario razonable asociado con la aplicación iTop Data Recovery («IdrInit.exe»), una DLL maliciosa («ProductStatistics3.dll») y un archivo de DATOS que contiene información. enviado por un servidor controlado por un atacante. En la futuro etapa, se abusa de «IdrInit.exe» para descargar la DLL, lo que finalmente conduce a la implementación de la puerta trasera.

Técnicas de carga lateral de DLL

Yokai es responsable de configurar la persistencia en el host y conectarse al servidor de comando y control (C2) para aceptar códigos de comando que le permitan crear cmd.exe y ejecutar comandos de shell en el host.

Leer  India propone reglas de datos digitales con sanciones severas y requisitos de ciberseguridad

El ampliación se produce cuando Zscaler ThreatLabz reveló que descubrió una campaña de malware que aprovecha ejecutables compilados por Node.js para Windows para distribuir mineros de criptomonedas y ladrones de información como XMRig, Lumma y Phemedrone Stealer. Las aplicaciones maliciosas recibieron el nombre en código NodeLoader.

Los ataques emplean enlaces maliciosos incrustados en descripciones de videos de YouTube, que llevan a los usuarios a MediaFire o sitios web falsos que los instan a descargar un archivo ZIP disfrazado de hacks de videojuegos. El objetivo final de los ataques es extraer y ejecutar NodeLoader, que, a su vez, descarga un script de PowerShell responsable de divulgar el malware de etapa final.

«NodeLoader utiliza un módulo llamado sudo-prompt, una útil habitable públicamente en GitHub y npm, para subir privilegios», dijo Zscaler. «Los actores de amenazas emplean ingeniería social y técnicas anti-evasión para entregar NodeLoader sin ser detectado».

Todavía sigue a un aumento en los ataques de phishing que distribuyen el Remcos RAT habitable comercialmente, en el que los actores de amenazas renuevan las cadenas de infección empleando secuencias de comandos Visual Basic Script (VBS) y documentos Office Open XML como plataforma de divulgación para desencadenar el proceso de varias etapas.

Técnicas de carga lateral de DLL

En un conjunto de ataques, la ejecución del archivo VBS conduce a un script de PowerShell en gran medida ofuscado que descarga cargas avíos provisionales, lo que finalmente resulta en la inyección de Remcos RAT en RegAsm.exe, un ejecutable razonable de Microsoft .NET.

La otra reforma implica el uso de un documento Office Open XML para cargar un archivo RTF que es susceptible a CVE-2017-11882, una conocida defecto de ejecución remota de código en Microsoft Equation Editor, para recuperar un archivo VBS que luego procede a apañarse PowerShell para inyectar. Carga útil de Remcos en la memoria de RegAsm.exe.

Vale la pena señalar que entreambos métodos evitan dejar archivos escritos en el disco y cargarlos en procesos válidos en un intento deliberado de esquivar la detección por parte de los productos de seguridad.

Leer  Estados Unidos sanciona a la red de trabajadores de TI de Corea del Norte que apoyan programas de armas de destrucción masiva

«A medida que este troyano de camino remoto continúa atacando a los consumidores a través de correos electrónicos de phishing y archivos adjuntos maliciosos, la privación de medidas proactivas de ciberseguridad nunca ha sido más crítica», dijeron los investigadores de McAfee Labs.

El más popular

spot_img