Skip to main content

Windows Defender ha sido hackeado para distribuir este peligroso ransomware

Pantalla de laptop con un candado
(Crédito de imagen: Future)

Los investigadores han descubierto que las vulnerabilidades de Log4j se están utilizando para desplegar balizas Cobalt Strike a través de la herramienta de línea de comandos de Windows Defender.

Los investigadores de ciberseguridad de Sentinel Labs han descubierto recientemente un nuevo método, empleado por un criminal desconocido, cuyo objetivo es el despliegue del ransomware LockBit 3.0.

Funciona de la siguiente manera: el hacker aprovecharía log4shell (como se denominó Log4j en el día cero) para obtener acceso a un punto final objetivo, y obtener los privilegios de usuario necesarios. Una vez hecho esto, utilizaría PowerShell para descargar tres archivos distintos: un archivo de utilidad de Windows CL (limpio), un archivo DLL (mpclient.dll) y un archivo LOG (la baliza real de Cobalt Strike). 

Carga lateral de Cobalt Strike

A continuación, ejecutarían MpCmdRun.exe, una utilidad de línea de comandos que realiza diversas tareas para Microsoft Defender. Este programa suele cargar un archivo DLL legítimo, mpclient.dll, que necesita para ejecutarse correctamente. Pero en este caso, el programa cargaría una DLL maliciosa del mismo nombre, descargada junto con el programa.

Esa DLL hará que el archivo LOG cargue y descifre una carga útil cifrada de Cobalt Strike.

Es un método conocido como side-loading o carga lateral.

Normalmente, este afiliado de LockBit utilizaba las herramientas de línea de comandos de VMware para cargar lateralmente las balizas de Cobalt Strike, según BleepingComputer, por lo que el cambio a Windows Defender es algo inusual. La publicación especula que el cambio se hizo para eludir las protecciones específicas que VMware introdujo recientemente. Aun así, el uso de herramientas que viven en la tierra para evadir la detección de los servicios de protección antivirus (opens in new tab) o de malware (opens in new tab) es "extremadamente común" en estos días, concluye la publicación, que insta a las empresas a comprobar sus controles de seguridad y a estar atentas al seguimiento de cómo se (ab)usan los ejecutables legítimos.

Aunque Cobalt Strike es una herramienta legítima, utilizada para pruebas de incursión, se ha hecho bastante infame, ya que está siendo utilizada por criminales de todo el mundo. Viene con una extensa lista de funciones que los ciberdelincuentes pueden utilizar para mapear la red objetivo, sin ser detectados, y moverse lateralmente a través de los puntos finales, mientras se preparan para robar datos y desplegar ransomware.

Fuente: BleepingComputer (opens in new tab)

Antonio Romero
Antonio Romero

Editor en TechRadar España de día, guitarrista de blues y friki de los cómics de noche. ¿O era al revés?


Aportaciones de