Windows tiene un software integrado llamado CertUtil para administrar certificados en Windows. Con CertUtil, puede instalar, realizar copias de seguridad, eliminar, administrar y realizar funciones relacionadas con la certificación en Windows.
Una de las características de CertUtil es descargar el certificado o cualquier archivo relacionado desde la URL y guardarlo en su computadora usando certutil.exe -urlcache -split -f [URL] archivo de salida .
En 2017, el investigador de seguridad Casey Smith advirtió sobre el uso de este método para descargar código malicioso. En 2016 se utilizó y en marzo pasado apareció un troyano que lo utilizó para descargar una serie de archivos y scripts al ordenador.
El atacante todavía usa CertUtil porque algunas computadoras aún están bloqueadas, lo que evita que software externo descargue archivos. El uso del software integrado de Windows le ayudará a estar en la lista blanca y a poder descargar archivos.
CertUtil se utiliza en un troyano reciente
Utilice CertUtil + Base64 para evitar el software antivirus
El asesor de seguridad Xaview Mertens lanzó recientemente una nueva forma de usar CertUtil, en la que base64 primero cifra el archivo malicioso para identificarlo como inofensivo y luego lo descifra después de ser descargado por CertUtil.exe.
Comando para descargar archivos con CertUtil:
certutil.exe -urlcache -split -f [URL] output.file
MalwareHunterTeam indica que certutil.exe -decode se utilizó en la práctica. F5 Labs también detalla una campaña que utiliza CertUtil.exe para instalar una herramienta virtual de búsqueda de dinero. Fabio Assolini, de Kaspersky, también advirtió que este método se utilizó en Brasil.
Todos los días, siempre hay nuevos trucos para explorar programas que son legales y seguros en Windows. Si no usa CertUtil para acceder al certificado o al servidor remoto, debe bloquear la conectividad de red desde esta herramienta.
Ver más:
- Aparece una nueva advertencia de malware como Wannacry, capaz de eliminar la percusión vietnamita en la computadora
- ¿Qué hacer cuando su computadora está infectada con un virus que combate el dinero virtual?
- Los complementos en herramientas de edición populares pueden dar prioridad a los piratas informáticos
CertUtil excavando dinero virtual
Windows tiene un software integrado llamado CertUtil para administrar certificados en Windows. Con CertUtil, puede instalar, realizar copias de seguridad, eliminar, administrar y realizar funciones relacionadas con la certificación en Windows.
Una de las características de CertUtil es descargar el certificado o cualquier archivo relacionado desde la URL y guardarlo en su computadora usando certutil.exe -urlcache -split -f [URL] archivo de salida .
En 2017, el investigador de seguridad Casey Smith advirtió sobre el uso de este método para descargar código malicioso. En 2016 se utilizó y en marzo pasado apareció un troyano que lo utilizó para descargar una serie de archivos y scripts al ordenador.
El atacante todavía usa CertUtil porque algunas computadoras aún están bloqueadas, lo que evita que software externo descargue archivos. El uso del software integrado de Windows le ayudará a estar en la lista blanca y a poder descargar archivos.
CertUtil se utiliza en un troyano reciente
Utilice CertUtil + Base64 para evitar el software antivirus
El asesor de seguridad Xaview Mertens lanzó recientemente una nueva forma de usar CertUtil, en la que base64 primero cifra el archivo malicioso para identificarlo como inofensivo y luego lo descifra después de ser descargado por CertUtil.exe.
Comando para descargar archivos con CertUtil:
certutil.exe -urlcache -split -f [URL] output.file
MalwareHunterTeam indica que certutil.exe -decode se utilizó en la práctica. F5 Labs también detalla una campaña que utiliza CertUtil.exe para instalar una herramienta virtual de búsqueda de dinero. Fabio Assolini, de Kaspersky, también advirtió que este método se utilizó en Brasil.
Todos los días, siempre hay nuevos trucos para explorar programas que son legales y seguros en Windows. Si no usa CertUtil para acceder al certificado o al servidor remoto, debe bloquear la conectividad de red desde esta herramienta.
Ver más:
- Aparece una nueva advertencia de malware como Wannacry, capaz de eliminar la percusión vietnamita en la computadora
- ¿Qué hacer cuando su computadora está infectada con un virus que combate el dinero virtual?
- Los complementos en herramientas de edición populares pueden dar prioridad a los piratas informáticos