Windows Defender ha sido hackeado para distribuir este peligroso ransomware
Se está aprovechando Windows Defender para implementar LockBit 3.0
Los investigadores han descubierto que las vulnerabilidades de Log4j se están utilizando para desplegar balizas Cobalt Strike a través de la herramienta de línea de comandos de Windows Defender.
Los investigadores de ciberseguridad de Sentinel Labs han descubierto recientemente un nuevo método, empleado por un criminal desconocido, cuyo objetivo es el despliegue del ransomware LockBit 3.0.
Funciona de la siguiente manera: el hacker aprovecharía log4shell (como se denominó Log4j en el día cero) para obtener acceso a un punto final objetivo, y obtener los privilegios de usuario necesarios. Una vez hecho esto, utilizaría PowerShell para descargar tres archivos distintos: un archivo de utilidad de Windows CL (limpio), un archivo DLL (mpclient.dll) y un archivo LOG (la baliza real de Cobalt Strike).
Carga lateral de Cobalt Strike
A continuación, ejecutarían MpCmdRun.exe, una utilidad de línea de comandos que realiza diversas tareas para Microsoft Defender. Este programa suele cargar un archivo DLL legítimo, mpclient.dll, que necesita para ejecutarse correctamente. Pero en este caso, el programa cargaría una DLL maliciosa del mismo nombre, descargada junto con el programa.
Esa DLL hará que el archivo LOG cargue y descifre una carga útil cifrada de Cobalt Strike.
Es un método conocido como side-loading o carga lateral.
Normalmente, este afiliado de LockBit utilizaba las herramientas de línea de comandos de VMware para cargar lateralmente las balizas de Cobalt Strike, según BleepingComputer, por lo que el cambio a Windows Defender es algo inusual. La publicación especula que el cambio se hizo para eludir las protecciones específicas que VMware introdujo recientemente. Aun así, el uso de herramientas que viven en la tierra para evadir la detección de los servicios de protección antivirus o de malware es "extremadamente común" en estos días, concluye la publicación, que insta a las empresas a comprobar sus controles de seguridad y a estar atentas al seguimiento de cómo se (ab)usan los ejecutables legítimos.
Obtenga información, inspiración y ofertas diarias en su bandeja de entrada
Regístrese para recibir noticias de última hora, reseñas, opiniones, ofertas de alta tecnología y más.
Aunque Cobalt Strike es una herramienta legítima, utilizada para pruebas de incursión, se ha hecho bastante infame, ya que está siendo utilizada por criminales de todo el mundo. Viene con una extensa lista de funciones que los ciberdelincuentes pueden utilizar para mapear la red objetivo, sin ser detectados, y moverse lateralmente a través de los puntos finales, mientras se preparan para robar datos y desplegar ransomware.
- La mejor VPN de 2021: nuestro ranking de las mejores VPN para que puedas elegir
- ¿Tu ordenador va lento? Te contamos cómo optimizar Windows 10 para que vaya más rápido
Fuente: BleepingComputer
Editor en TechRadar España de día, guitarrista de blues y friki de los cómics de noche. ¿O era al revés?
El Samsung Galaxy S25 podría utilizar finalmente el chip que esperábamos
Cómo personalizar la pantalla de inicio de tu iPhone en iOS 18: modo oscuro, diseños de cuadrícula, iconos de apps tintados y más
La Fujifilm X-M5 ha aparecido en un teaser oficial y en nuevas filtraciones: esto es lo que esperamos de la alternativa asequible a la X100VI