Recientemente, Huntress Labs, un proveedor de software que detecta amenazas a la seguridad cibernética, descubrió un nuevo y sofisticado script para piratas informáticos. Este escenario de ataque requiere mucha perseverancia, pero los resultados pueden ser enormes para los piratas informáticos.
Específicamente, después de obtener acceso a la computadora de la víctima, los piratas informáticos usan un archivo llamado “a.chk” para implementar silenciosamente el código malicioso. Este archivo se disfrazará como un archivo de registro de errores para la aplicación de Windows.
El archivo de registro falso se llama a.chk
Los parámetros de este archivo son normales, excepto la última columna. A primera vista, esta columna parece contener valores hexadecimales. Sin embargo, al convertir a decimal, este es el número de caracteres en la tabla ASCII. Una vez decodificados, estos caracteres forman un script que se vincula al servidor de control del hacker para ayudarlo a realizar otras acciones.
Sin una revisión cuidadosa, incluso los expertos en seguridad no reconocen la anomalía de estos archivos de registro. Las columnas y filas son marcas de tiempo y hacen referencia al número de versión interno de Microsoft.
Una inspección más detallada reveló que el pirata informático había ocultado el código para extraer los datos relevantes y crear una carga útil cifrada. La carga útil es parte del malware, un fragmento de código que se ejecuta en la computadora de la víctima y que se utiliza para realizar ciertas actividades maliciosas, como destruir datos, enviar spam o cifrar datos. Además de la carga útil, este malware tiene un código adicional para propagarlo o evitar ser identificado.
Puedes ver cómo el hacker escondió el código en la imagen de abajo, mira la columna de la derecha:
Los valores de la última columna se pueden transformar en códigos peligrosos
Según el experto en seguridad John Ferrell, vicepresidente de Hunttress Labs, las cargas útiles se crean falsificando las tareas programadas de Windows. Los dos scripts ejecutados en este nuevo método de ataque se renombran con los mismos comandos estándar para evitar la detección.
El primer código se llama BfeOnService.exe, una copia de mshta.exe. Este código ejecuta VBScript para iniciar PowerShell y ejecutar comandos en él.
El segundo código se llama engine.exe, una copia de powershell.exe. Este código es responsable de extraer números ASCII del archivo de registro falso y decodificarlos en otros scripts para construir la carga útil.
En el lanzamiento, el código crea una carga útil que recopila información en la computadora de la víctima.
Una vez construida, la carga útil recopilará información sobre el navegador, el software relacionado con los impuestos, el software de seguridad y el software PoS instalados en la computadora de la víctima.
Por el momento, no se sabe qué hacker u organización está detrás de este ataque. Este es un método de ataque muy sofisticado y muestra que los piratas informáticos están tratando de encontrar formas de piratear y robar información importante en computadoras personales y empresas.
hackers de windows
Recientemente, Huntress Labs, un proveedor de software que detecta amenazas a la seguridad cibernética, descubrió un nuevo y sofisticado script para piratas informáticos. Este escenario de ataque requiere mucha perseverancia, pero los resultados pueden ser enormes para los piratas informáticos.
Específicamente, después de obtener acceso a la computadora de la víctima, los piratas informáticos usan un archivo llamado “a.chk” para implementar silenciosamente el código malicioso. Este archivo se disfrazará como un archivo de registro de errores para la aplicación de Windows.
El archivo de registro falso se llama a.chk
Los parámetros de este archivo son normales, excepto la última columna. A primera vista, esta columna parece contener valores hexadecimales. Sin embargo, al convertir a decimal, este es el número de caracteres en la tabla ASCII. Una vez decodificados, estos caracteres forman un script que se vincula al servidor de control del hacker para ayudarlo a realizar otras acciones.
Sin una revisión cuidadosa, incluso los expertos en seguridad no reconocen la anomalía de estos archivos de registro. Las columnas y filas son marcas de tiempo y hacen referencia al número de versión interno de Microsoft.
Una inspección más detallada reveló que el pirata informático había ocultado el código para extraer los datos relevantes y crear una carga útil cifrada. La carga útil es parte del malware, un fragmento de código que se ejecuta en la computadora de la víctima y que se utiliza para realizar ciertas actividades maliciosas, como destruir datos, enviar spam o cifrar datos. Además de la carga útil, este malware tiene un código adicional para propagarlo o evitar ser identificado.
Puedes ver cómo el hacker escondió el código en la imagen de abajo, mira la columna de la derecha:
Los valores de la última columna se pueden transformar en códigos peligrosos
Según el experto en seguridad John Ferrell, vicepresidente de Hunttress Labs, las cargas útiles se crean falsificando las tareas programadas de Windows. Los dos scripts ejecutados en este nuevo método de ataque se renombran con los mismos comandos estándar para evitar la detección.
El primer código se llama BfeOnService.exe, una copia de mshta.exe. Este código ejecuta VBScript para iniciar PowerShell y ejecutar comandos en él.
El segundo código se llama engine.exe, una copia de powershell.exe. Este código es responsable de extraer números ASCII del archivo de registro falso y decodificarlos en otros scripts para construir la carga útil.
En el lanzamiento, el código crea una carga útil que recopila información en la computadora de la víctima.
Una vez construida, la carga útil recopilará información sobre el navegador, el software relacionado con los impuestos, el software de seguridad y el software PoS instalados en la computadora de la víctima.
Por el momento, no se sabe qué hacker u organización está detrás de este ataque. Este es un método de ataque muy sofisticado y muestra que los piratas informáticos están tratando de encontrar formas de piratear y robar información importante en computadoras personales y empresas.