Descubren malware oculto en registros de eventos de Windows: ¡Protégete ahora!

Un descubrimiento sin precedentes realizado por Kaspersky podría tener graves consecuencias para aquellos que utilizan sistemas operativos Windows. La empresa de ciberseguridad publicó un artículo el 4 de mayo en el que detallaba que, por primera vez en la historia, los hackers han colocado shellcode en los registros de eventos de Windows, ocultando troyanos como malware sin archivos.

La campaña maliciosa utilizó una amplia gama de técnicas, como suites comerciales de pruebas de penetración y envoltorios anti-detección, que incluían aquellas compiladas con el lenguaje de programación Go, así como varios troyanos de última etapa.

Índice de Contenido
  1. Cómo los hackers introdujeron el troyano en los registros de eventos
  2. Cómo evitar este tipo de ataque

Cómo los hackers introdujeron el troyano en los registros de eventos

La primera instancia de este método de ocultamiento de malware ocurrió en septiembre de 2021, según Kaspersky. Los atacantes lograron que un objetivo descargara un archivo .rar a través de un sitio web auténtico, que luego desempaquetó archivos de troyanos .dll en el disco duro del destinatario deseado.

"Hemos presenciado una nueva técnica de malware dirigido que llamó nuestra atención", dijo Denis Legezo, investigador de seguridad principal de Kaspersky. "Para el ataque, el actor guardó y luego ejecutó un shellcode cifrado en los registros de eventos de Windows. Ese es un enfoque que nunca antes habíamos visto y resalta la importancia de mantenerse consciente de las amenazas que de otra manera podrían tomarte por sorpresa. Creemos que vale la pena agregar la técnica de los registros de eventos a la sección de Evasión de Defensas y Ocultamiento de Artefactos de la Matriz MITRE. El uso de varias suites comerciales de pruebas de penetración tampoco es algo que se vea todos los días"

En el método de red HTTP, el archivo malicioso apunta a los archivos del sistema de Windows, ocultando una pieza de malware creando una duplicación de un archivo existente al que se le agrega "1.1" a la cadena, que según Kaspersky se asume que es la versión maliciosa de un archivo.

"Antes de las comunicaciones HTTP, el módulo envía datos vacíos (pero aún cifrados) en un paquete ICMP para verificar la conexión, utilizando una clave RC4 codificada de 32 bytes de longitud", dijo Legezo. "Al igual que cualquier otra cadena, esta clave está cifrada con el algoritmo basado en XOR Throwback. Si el ping a un servidor de control con el puerto 80 disponible tiene éxito, los datos de huellas dactilares mencionados se envían a este. Como respuesta, el C2 comparte el comando cifrado para el bucle principal del troyano.'

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

El otro método se conoce como el troyano de Named-Based Pipes, que localiza la biblioteca de Servicios de Datos de Ayuda de Microsoft dentro de los archivos del sistema operativo Windows y luego captura un archivo existente para sobrescribirlo con una versión de malware que puede ejecutar una serie de comandos. Una vez que se ejecuta la versión maliciosa, se recopila información de arquitectura y versión de Windows del dispositivo de la víctima.

Cómo evitar este tipo de ataque

Kaspersky ofrece los siguientes consejos a los usuarios de Windows que esperan evitar este tipo de malware:

  • Utilizar una solución confiable de seguridad de punto final.
  • Instalar soluciones anti-APT y EDR.
  • Proporcionar a su equipo de seguridad la última inteligencia de amenazas y capacitación.
  • Integrar protección de punto final y emplear servicios dedicados que puedan ayudar a proteger contra ataques de alto perfil.

A medida que los métodos utilizados por los hackers continúan siendo más difíciles de detectar, es tan importante como siempre asegurarse de que los dispositivos estén seguros. La responsabilidad de proteger los dispositivos recae tanto en los hombros del equipo de TI como en el usuario del dispositivo Windows. Al utilizar seguridad de punto final y una arquitectura de confianza cero, se puede detener el próximo gran ataque de malware, evitando la pérdida de datos sensibles y de información personal.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Descubren malware oculto en registros de eventos de Windows: ¡Protégete ahora! , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.