Bl0ckch41nnewsTroyano "stealer" instalados a través de KMSPico

[ad_1]

En mayo de 2024, la Unidad de Respuesta a Amenazas (TRU) de eSentire detectó
un ataque que involucraba una herramienta activadora
KMSPico falsa, que instalaba el troyano Vidar Stealer. El ataque aprovechó las
dependencias de Java y un Script de AutoIt malicioso para desactivar Windows
Defender y, finalmente, descifrar la carga útil de Vidar mediante una
shell.

En el incidente observado, el usuario realiza una búsqueda de KMSPico e igresa
al primer resultado del buscador (kmspico[.]ws). La herramienta se
promociona como un «activador universal» para Windows y parece que ya no
recibe mantenimiento.

El sitio falso kmspico[.]ws estaba alojado detrás de Cloudflare Turnstile
y requería el ingreso de un código para descargar el paquete ZIP
final. Estos pasos son inusuales para una página de descarga de aplicaciones
legítima y se realizan para ocultar la página y la carga útil final de los
rastreadores web automatizados. El archivo ZIP del análisis contiene
dependencias de Java y el ejecutable malicioso
Setuper_KMS-ACTIV.exe (MD5: 6b6d562c71b953f41b6915998f047a30).

Al ejecutarlo, se iniciará javaw.exe, que es responsable de
deshabilitar la supervisión del comportamiento en Windows Defender y descargar
el script malicioso de AutoIt (MD5: b06e67f9767e5023892d9698703ad098).

El script de AutoIt contiene la carga útil cifrada de Vidar  que se
inyectará en el proceso AutoIt. Vidar Stealer usa Telegram como
Dead Drop Resolver (DDR)
para almacenar la dirección IP del C2. Los actores de amenazas utilizan un
Dead Drop Resolver para alojar información de comando y control (C2) en
servicios web externos legítimos, incrustando y a menudo ofuscando dominios o
direcciones IP dentro del contenido publicado en sitios y aplicaciones
populares como Telegram (T1102.001).

[ad_2]

Source link

Los comentarios están cerrados.