{"id":7177,"date":"2022-01-14T09:54:27","date_gmt":"2022-01-14T14:54:27","guid":{"rendered":"https:\/\/etek.com\/es\/?p=5501"},"modified":"2022-01-14T09:54:27","modified_gmt":"2022-01-14T14:54:27","slug":"nuevo-malware-multiplataforma","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/nuevo-malware-multiplataforma\/","title":{"rendered":"Nuevo Malware Multiplataforma"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"7177\" class=\"elementor elementor-7177\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-b26085c elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"b26085c\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-fd2e5f1\" data-id=\"fd2e5f1\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-96aba3b elementor-widget elementor-widget-text-editor\" data-id=\"96aba3b\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<p>Se ha detectado un nuevo malware llamado SysJoker, el cual afecta Windows, Linux y Mac, y est\u00e1 orientado al espionaje ya que una vez ha infectado al host recolecta informaci\u00f3n como la direcci\u00f3n IP, direcci\u00f3n MAC, seriales, e informaci\u00f3n de la cuenta de usuario entre otros. El malware se hace pasar por una actualizaci\u00f3n del sistema para que sea ejecutado por el usuario final y as\u00ed comenzar con el vector de ataque. A continuaci\u00f3n, se describe en detalle el vector de ataque para el caso de m\u00e1quinas windows:<\/p><ul><li>Inicialmente un troyano descarga un archivo comprimido, el cualposteriormente es copiado y extra\u00eddo en una carpeta de propia delsistema operativo, lo cual se realiza a trav\u00e9s de comandos powershell,Una vez se ha ejecutado se camufla como un servicio (igfxCUIService.exe),con el objetivo de simular el servicio \u201cIntel Graphics Common UserInterface Service\u201d,<\/li><li>Este es el servicio que recolecta toda la informaci\u00f3n del host\/usuario y lacodifica en un archivo llamado Microsoft_winwows.dll.<\/li><li>Genera persistencia al crear una llave en el registro del sistema:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run,la ejecuci\u00f3n de todos estos pasos se realiza con intervalos aleatorios detiempo para no generar actividad sospechosa sobre el host infectado.<\/li><li>Luego de recolectar la informaci\u00f3n, el malware identifica las IP decomando y control mediante la descarga de un archivo de texto desde<br \/>Google drive (domain.txt)<\/li><\/ul>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-b64ecbb elementor-widget elementor-widget-image\" data-id=\"b64ecbb\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/01\/Nuevo-Malware-Multiplataforma-1.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-e1babf1 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"e1babf1\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-311a5b8\" data-id=\"311a5b8\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-e8b5bc7 elementor-widget elementor-widget-text-editor\" data-id=\"e8b5bc7\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Vale la pena aclarar que los pasos descritos ac\u00e1 son ejecutados peri\u00f3dicamente con el objetivo de no generar tanta actividad sospechosa y as\u00ed el malware ser\u00eda f\u00e1cilmente detectado, y adicionalmente en caso de no tener conexi\u00f3n con direcciones IP p\u00fablicas valida nuevamente si se tienen nuevas IPs de C&amp;C y as\u00ed poder enviar la informaci\u00f3n recolectada.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-6478117 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"6478117\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-c4d6de9\" data-id=\"c4d6de9\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-f2f3c8a elementor-widget elementor-widget-image\" data-id=\"f2f3c8a\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/01\/Nuevo-Malware-Multiplataforma-2.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-36d51f4 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"36d51f4\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-95142bf\" data-id=\"95142bf\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-465e85c elementor-widget elementor-widget-text-editor\" data-id=\"465e85c\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p><strong>Recomendaciones<\/strong><\/p><ul><li>Agregar y\/o actualizar los indicadores de compromiso listados en este bolet\u00edn en las diferentes plataformas de protecci\u00f3n de la compa\u00f1\u00eda, perimetrales o de endpoint.<\/li><li>En el caso de Windows, y en caso de no ser requerido por el negocio se debe deshabilitar el uso de powershell.<\/li><li>Validar el detalle del rastro que deja el malware por cada S.O y que se encuentran en los links en este bolet\u00edn.<\/li><\/ul><p><strong>Indicadores de Compromiso (IOCs)<\/strong><\/p><ul><li>bd0141e88a0d56b508bc52db4dab68a49b6027a486e4d9514ec0db006fe71eed<\/li><li>d028e64bf4ec97dfd655ccd1157a5b96515d461a710231ac8a529d7bdb936ff3<\/li><li>1a9a5c797777f37463b44de2b49a7f95abca786db3977dcdac0f79da739c08ac<\/li><li>61df74731fbe1eafb2eb987f20e5226962eeceef010164e41ea6c4494a4010fc1ffd6559d21470c40dcf9236da51e5823d7ad58c93502279871c3fe7718c901c<\/li><\/ul><p><strong>Comando y Control:<\/strong><\/p><ul><li>https[:\/\/]bookitlab[.]tech<\/li><li>https[:\/\/]winaudio-tools[.]com<\/li><li>https[:\/\/]graphic-updater[.]com<\/li><li>https[:\/\/]github[.]url-mini[.]com<\/li><li>https[:\/\/]office360-update[.]com<\/li><li>https[:\/\/]drive[.]google[.]com\/uc?export=download&amp;id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn<\/li><li>https[:\/\/]drive[.]google[.]com\/uc?export=download&amp;id=1W64PQQxrwY3XjBnv_QAeBQu-ePr537eu<\/li><\/ul><p><strong>Para m\u00e1s informaci\u00f3n puede consultar las siguientes fuentes asociadas a la noticia:<\/strong><\/p><ul><li><a href=\"https:\/\/www.intezer.com\/blog\/malware-analysis\/new-backdoor-sysjoker\/\">https:\/\/www.intezer.com\/blog\/malware-analysis\/new-backdoor-sysjoker\/<\/a><\/li><li><a href=\"https:\/\/thehackernews.com\/2022\/01\/new-sysjoker-espionage-malware.html\">https:\/\/thehackernews.com\/2022\/01\/new-sysjoker-espionage-malware.html<\/a><\/li><\/ul>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Se ha detectado un nuevo malware llamado SysJoker, el cual afecta Windows, Linux y Mac, y est\u00e1 orientado al espionaje ya que una vez ha infectado al host recolecta informaci\u00f3n como la direcci\u00f3n IP, direcci\u00f3n MAC, seriales, e informaci\u00f3n de la cuenta de usuario entre otros. El malware se hace pasar por una actualizaci\u00f3n del [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":5521,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/7177"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=7177"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/7177\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=7177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=7177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=7177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}