TekCrispyTekCrispy
  • Ciencia
    • Historia
    • Perfiles
  • Tecnología
    • Software
    • Móviles
    • Herramientas Web
    • Redes Sociales
  • Cultura Digital
    • Cine y TV
    • Videojuegos
  • Análisis
Selección del Editor

Perros de caza en pinturas rupestres del VII a.C. ¿La evidencia más antigua de domesticación?

May 24, 2022

AI Responsibility Lab tiene un plan para que la IA se use de forma ética en el futuro

May 24, 2022

Matices de la violencia doméstica: ¿Qué se considera maltrato y qué no?

May 24, 2022

Google Lens llega a Chrome: podrás buscar usando imágenes de páginas web

May 24, 2022
Facebook Twitter Instagram TikTok Telegrama
TekCrispyTekCrispy
  • Ciencia

    Perros de caza en pinturas rupestres del VII a.C. ¿La evidencia más antigua de domesticación?

    May 24, 2022

    Matices de la violencia doméstica: ¿Qué se considera maltrato y qué no?

    May 24, 2022

    ¿Las madres de gemelos son más fértiles que el resto?

    May 24, 2022

    ¿Las escuelas deberían hacer más por la salud mental de sus estudiantes?

    May 24, 2022

    ¿Por qué los bebés no deberían tomar leche de vaca en su primer año de vida?

    May 24, 2022
  • Tecnología

    AI Responsibility Lab tiene un plan para que la IA se use de forma ética en el futuro

    May 24, 2022

    Google Lens llega a Chrome: podrás buscar usando imágenes de páginas web

    May 24, 2022

    ¿Cómo poner controles parentales en el smartphone de tu hijo?

    May 24, 2022

    Cuello tecnológico: ¿qué le están haciendo los smartphones a nuestro cuerpo?

    May 24, 2022

    Las historias de “amigos cercanos” de Instagram no son tan privadas como crees

    May 24, 2022
  • Cultura Digital

    “The Mandalorian” y “Avatar 2”: la tecnología en el cine que solo busca conmovernos

    May 15, 2022

    ¿Cómo ganar vistas en YouTube en 2022?

    May 6, 2022

    Netflix implementa un impuesto de culpabilidad para quienes comparten contraseñas

    Mar 17, 2022

    Declarando, la gestoría 100% online que está revolucionando el sector

    Mar 11, 2022

    Científicos cuentan cómo los juegos de carreras desarrollan a los niños

    Mar 1, 2022
Facebook Twitter Instagram TikTok
TekCrispyTekCrispy
Seguridad

Detectan ataque que explota funciones legítimas de Windows para acceder al PC de la víctima sin dejar rastro

Por Rosselyn BarroyetaSep 3, 20183 minutos de lectura
Compartir
Facebook Twitter Email Telegrama WhatsApp

Un grupo de investigadores de Symantec, han descubierto un ataque que es capaz de usar algunas funciones de Windows. Los atacantes pueden hacerse de estas utilidades para acceder al dispositivo de la víctima y robar toda su información.

De acuerdo con Symantec, el ataque en cuestión es similar al “Living off the land”, que consiste en hacer uso de los recursos del computador, ejecutar una serie de scripts y shells para infectar el equipo.

En este descubrimiento, los investigadores explican que el atacante aprovecha las vulnerabilidades del WMIC de Windows (windowsmanagement instrumentation command-line). Se trata de un herramienta de administración de Windows, donde mendiante líneas de comandos, ejecuta tareas administrativas como consultar la configuración del sistema, control de procesos y ejecución de scripts a nivel local y remoto, lo que lo hace aun mas accesible a los hackers.

Recientemente, observamos creadores de malware utilizando una combinación de una herramienta que se encuentra en todas las computadoras con Windows y un tipo de archivo generalmente inofensivo asociado con la modificación y la representación de documentos XML. Aunque estas dos cosas-la utilidad de línea de comandos de instrumentación de administración de Windows (WMIC) y un archivo eXtensible Stylesheet Language (XSL) normalmente no levantan sospechas si se encuentran en una computadora, en este caso se usan como parte de una infección de varias etapas cadena que ofrece una amenaza modular de robo de información.

Si bien, muchos atacantes usan WMIC para la propagación de sus fechorías, en este caso los ciberdelincuentes acceden  a esta para descargas de archivos maliciosos. El uso de esta herramienta y otros procesos de Windows, hacen que los atacantes actúen sin ser detectados.

Al centrarse más en el software local y menos en introducir el malware en los sistemas destino, los maleantes pueden permanecer sin ser detectados durante más tiempo y minimizar el riesgo de quedar expuestos.

¿Cómo funciona este ataque?

De acuerdo con la fuente, la cadena de ataques comienza mediante una campaña de pishing, donde se envía un acceso directo (.ink) como una url o un archivo adjunto vía email.

Si la víctima hace clic en el enlace malicioso, el archivo de acceso directo, que contiene un comando WMIC, descarga un archivo XSL malicioso de un servidor remoto. Dando paso a la siguiente etapa del ataque.

El archivo XSL contiene código JavaScript ejecuta mshta.exe, otro proceso legítimo de Windows utilizado para ejecutar el host de aplicaciones HTML de Microsoft.

Dicho código contiene una lista de 52 dominios, a cada uno de los cuales se les asigna un número del 1-52. El JavaScript contiene una función random (radador), usada para generar al azar un dominio y número de puerto para descargar archivos HTML Application (HTA) y tres DLL, que luego se registran en regsvr32.exe, así como la carga principal.

Luego, se descargan módulos adicionales, que comprometen la PC de la víctima. Puesto que los módulos pueden robar información del equipo, así como una carga útil MailPassview para la captura de contraseñas de correo electrónico; El software WebBrowser Passview para recolectar credenciales del navegador web, un keylogger (registrador de teclas), un backdoor para la persistencia y un buscador para ver y exfiltrar archivos.

Si bien, se trata de un ataque poderoso, tomando en cuenta que es casi imperceptible, los desarrolladores de Symantec aseguran que: “las tácticas utilizadas en este caso particular fueron bloqueadas con éxito por nuestra protección basada en archivos, comportamientos y redes, incluida la tecnología avanzada de aprendizaje automático de Symantec.”

Ataque Living off the land Microsoft seguridad Symantec Vulnerabilidad Windows WMIC XSL

Artículos Relacionados

El subsistema de Windows 11 para Android recibe una gran actualización

Los liveness tests usados por los bancos son vulnerables a los ataques de deepfake

Google está rehaciendo sus servicios de búsquedas y mapas para acercarse a la generación TikTok

Añadir un comentario

Dejar una respuesta Cancelar respuesta

Selección del Editor

¿La búsqueda de evidencia de vida en Marte no debe detenerse?

May 23, 2022

Incrustaciones de piedras preciosas en los dientes de los mayas revelan algo más que ostentación

May 23, 2022

¿Qué es el carbono azul y por qué debería tener una hoja de ruta?

May 20, 2022

Insomnio en la mediana edad podría acarrear problemas cognitivos en la vejez

May 20, 2022
Síguenos en las redes
  • Facebook
  • Twitter
  • Instagram
  • TikTok
Facebook Twitter Instagram LinkedIn TikTok
  • Publicidad
  • Contacto
  • Política de Privacidad
  • Acerca de TekCrispy
© 2022 CRISPYMEDIA LLC. DERECHOS RESERVADOS.

Escriba arriba y pulse Enter para buscar. Pulse Esc para cancelar.