el más reciente

― Advertisement ―

Relacionada

TikTok se apaga en los EE. UU. cuando la prohibición federal...

La popular red social para compartir vídeos TikTok dejará de funcionar oficialmente en los Estados Unidos en 2025, ya que la prohibición federal de...
spot_img
InicioTecnologíaLos piratas informáticos utilizan archivos MSC de Microsoft para implementar una puerta...

Los piratas informáticos utilizan archivos MSC de Microsoft para implementar una puerta trasera ofuscada en los ataques de Pakistán

Se ha observado una nueva campaña de phishing que emplea señuelos con temas fiscales para entregar una carga útil sigilosa de puerta trasera como parte de ataques dirigidos a Pakistán.

La empresa de ciberseguridad Securonix, que está rastreando la actividad bajo el nombre FLUJO#CONSOLAdijo que probablemente comienza con un enlace o archivo adjunto de correo electrónico de phishing, aunque dijo que no pudo obtener el correo electrónico flamante utilizado para editar el ataque.

«Uno de los aspectos más notables de la campaña es cómo los actores de amenazas aprovechan los archivos MSC (Microsoft Common Console Document) para implementar un cargador y un dropper de doble propósito para entregar más cargas maliciosas», dijeron los investigadores de seguridad Den Iuzvyk y Tim Peck.

Vale la pena señalar que Elastic Security Labs ha denominado en código GrimResource el alcaldada de archivos de consola de delegación guardados (MSC) especialmente diseñados para ejecutar código taimado.

El punto de partida es un archivo con extensiones dobles (.pdf.msc) que se hace tener lugar por un archivo PDF (si la configuración para mostrar extensiones de archivo está deshabilitada) y está diseñado para ejecutar un código JavaScript incrustado cuando se inicia usando Microsoft Management Console (MMC). ).

Este código, a su vez, es responsable de recuperar y mostrar un archivo señuelo, al tiempo que carga de forma estafa un archivo DLL («DismCore.dll») en segundo plano. Uno de esos documentos utilizados en la campaña se fogosidad «Reducciones de impuestos, reembolsos y créditos 2024», que es un documento oficial asociado con la Comité Federal de Ingresos de Pakistán (FBR).

Leer  Investigadores descubren un importante defecto de seguridad en los secuenciadores de ADN Illumina iSeq 100

«Por otra parte de entregar la carga útil desde una condena incrustada y ofuscada, el archivo .MSC puede ejecutar código adicional accediendo a un archivo HTML remoto que asimismo logra el mismo objetivo», dijeron los investigadores, y agregaron que la persistencia se establece usando tareas programadas.

La carga útil principal es una puerta trasera capaz de establecer contacto con un servidor remoto y ejecutar comandos enviados por él para filtrar datos de los sistemas comprometidos. Securonix dijo que el ataque se interrumpió 24 horas posteriormente de la infección original.

«Desde el JavaScript en extremo ofuscado utilizado en las etapas iniciales hasta el código de malware profundamente oculto adentro de la DLL, toda la condena de ataque ejemplifica las complejidades de detectar y analizar el código taimado contemporáneo», dijeron los investigadores.

«Otro aspecto sobresaliente de esta campaña es la explotación de archivos MSC como una transformación potencial del archivo LNK clásico que ha sido popular entre los actores de amenazas en los últimos abriles. Al igual que los archivos LNK, asimismo permiten la ejecución de código taimado mientras se combinan en flujos de trabajo administrativos legítimos de Windows».

El más popular

spot_img