Malware-Analysis

Este artículo presenta un análisis detallado de una reciente campaña de malware que utiliza técnicas de ofuscación avanzadas para evadir la detección. La cadena de infección comienza con un script JScript adjunto a un correo electrónico de phishing y culmina con la descarga de Remcos RAT. El análisis se centra en las técnicas de ofuscación empleadas y cómo desensamblar cada etapa del ataque. Campaña de Phishing y Primera Etapa de Infección La campaña se distribuyó a través de correos electrónicos de phishing que suplantaban a una empresa checa legítima. Aunque el correo electrónico contenía elementos visuales creíbles, fallaba en las verificaciones DMARC/SPF, lo que probablemente habría resultado en su cuarentena por la mayoría de los servidores de correo. ...

Investigadores de ciberseguridad han descubierto dos nuevas extensiones maliciosas en la Chrome Web Store diseñadas para exfiltrar conversaciones de OpenAI ChatGPT y DeepSeek, junto con datos de navegación, a servidores bajo el control de los atacantes. Este tipo de ataque, que utiliza extensiones de navegador para capturar sigilosamente conversaciones de IA, ha sido denominado “Prompt Poaching” por Secure Annex. Extensiones Maliciosas Identificadas Las dos extensiones, que en conjunto suman más de 900,000 usuarios, son: ...

¿Qué son los Callbacks TLS? El Thread Local Storage (TLS) es un mecanismo del sistema operativo Windows que permite que cada hilo de un proceso tenga su propia copia de variables específicas. Para soportar esto, los archivos ejecutables PE (Portable Executable) de Windows contienen un directorio TLS (IMAGE_TLS_DIRECTORY). Este directorio no solo describe dónde se almacenan los datos TLS y su tamaño, sino que también incluye una lista de funciones de callback (llamadas de retorno). ...

El Departamento de Justicia de EE. UU. (DoJ) ha anunciado la acusación formal contra 54 personas por su presunta participación en un esquema de “jackpotting” de cajeros automáticos (ATM) que desvió millones de dólares. La conspiración a gran escala implicó el uso del malware Ploutus para forzar a los cajeros automáticos en todo el país a dispensar efectivo. Según las autoridades, los acusados forman parte del grupo criminal venezolano Tren de Aragua (TdA), que ha sido designado como organización terrorista extranjera por el Departamento de Estado de EE. UU. ...

Una investigación conjunta de Amnistía Internacional, Haaretz, Inside Story e Inside IT ha revelado que el abogado de derechos humanos de la provincia de Baluchistán, Pakistán, fue el objetivo del software espía Predator de Intellexa. Este incidente marca la primera vez que un miembro de la sociedad civil en Pakistán es atacado por esta herramienta de vigilancia. El ataque se llevó a cabo mediante un enlace sospechoso enviado por WhatsApp, que Amnistía Internacional identificó como un “intento de ataque Predator” basado en su comportamiento técnico y características. ...

El grupo de ciberdelincuentes GoldFactory, motivado financieramente, ha lanzado una nueva ola de ataques dirigida a usuarios móviles en Indonesia, Tailandia y Vietnam. Los atacantes están utilizando una técnica de suplantación de identidad de servicios gubernamentales para distribuir aplicaciones bancarias legítimas modificadas con malware. La actividad, observada desde octubre de 2024, implica la distribución de aplicaciones que actúan como conductos para malware avanzado de Android, según un informe técnico de Group-IB. ...