 |
Un grupo de ciberdelincuentes brasileños está utilizando una técnica conocida como LOLBAS (Living Off The Land Binaries And Scripts) para infectar a sus víctimas con malware. Según un informe publicado por The Hacker News, los atacantes aprovechan los binarios y scripts legítimos de Windows para ejecutar código malicioso sin ser detectados por los antivirus. |
LOLBAS son archivos ejecutables, scripts o bibliotecas que ya existen en un sistema Windows, son proporcionados por el propio sistema operativo o provienen de fuentes confiables. Pueden ser utilizados para fines maliciosos, como descargar archivos, compilar códigos, realizar operaciones de archivos o robar credenciales. Algunos ejemplos de LOLBAS son powershell.exe, rundll32.exe o certutil.exe.
El informe revela que los ciberdelincuentes brasileños utilizan LOLBAS para descargar y ejecutar un archivo DLL malicioso que contiene el malware. El archivo DLL se almacena en un servidor web controlado por los atacantes y se descarga mediante el comando certutil.exe. Luego, se carga en la memoria mediante el comando rundll32.exe y se ejecuta el código malicioso.
El malware tiene como objetivo robar información sensible de las víctimas, como datos bancarios, credenciales de acceso o información personal. También puede realizar capturas de pantalla, registrar las pulsaciones del teclado o descargar otros programas maliciosos.
Los expertos en seguridad recomiendan a los usuarios estar atentos a los procesos sospechosos que se ejecutan en sus sistemas y utilizar herramientas de detección y prevención de amenazas. Asimismo, aconsejan mantener actualizados los sistemas operativos y las aplicaciones para evitar posibles vulnerabilidades que puedan ser explotadas por los ciberdelincuentes.
Hashes:
|
HA256 |
f6e84e43323ed9d8531fa2aeeb3c181c8f84fcbe950ce6dcdd8c3fa0b02c6cc0 |
|
MD5 |
e64f28174f646e26199d6b7735c84195 |
|
SHA256 |
0a277e51598ef364d5e0006817d32487eb9c0a3c150b7169cbc0bb7348088e63 |
|
MD5 |
f7f602f9b7fd04b64fbafe4dbfefa066 |
|
SHA256 |
2d87b9b071ace9f2ebfa33c1c0c21202f39876b312e135a491bf57ba731b798c |
|
MD5 |
fdcc1e1e3ccf30c63660e1f75042be43 |
|
SHA256 |
40017793f40a192b1dfdfc960742dd539b19fee9b15213307c8319fd88eee57f |
|
MD5 |
e212e8d740310cc565bc89c3b7966804 |
|
SHA256 |
cb1d1f039c07bd03b6eb14248a897dcefdefc28ae6f523b7c6f549c3c155640b |
URLs identificadas por BlackBerry:
hxxps[:]//factura61[.]click/2/?j5szsmo0bk8tOSQSMS4mmp1XtQrmbNYoCB2GBem8
hxxps[:]//factura61[.]click/2/?vzlv9CZ1gnLrNIaWBJBhJNWRCt7IVXDDwVzOQhSs
hxxps[:]//sunat-pe[.]fun/?D80gaUJDUfuLG6lodTSEi7qoqciBWk5xE5w81pJO
hxxps[:]//factura61[.]click/2/?CTtBmkRN8KPXVTgUn1ArCPGb5WXTaT7etdD7TC
hxxps[:]//factura61[.]click/2/?yqJl8r7henupax3WsUvITb0PuSw5sn7HyZWGMvDv
hxxps[:]//factura61[.]click/2/?GxkVBvEBTFfSDqaFr8Yjw9kyKH01xRseHoF0DNQc
hxxps[:]//multa-ansr-pt[.]fun/?UFqQBhFaXulvEfeTbI38FFDKRth1r2DWKOFqUI0Y
hxxps[:]//multa-ansr-pt[.]fun/?l4mm0DEhDbJPYd5qAQmwst09TDTjjvYjiG7ByCvx:
Fuente: https://thehackernews.com/2023/06/brazilian-cybercriminals-using-lolbas.html