EncryptHub aprovecha vulnerabilidad zero-day en Windows para distribuir los malware Rhadamanthys y StealC
Publicado enAtaques

EncryptHub aprovecha vulnerabilidad zero-day en Windows para distribuir los malware Rhadamanthys y StealC

No hay comentarios

“`html

EncryptHub explota vulnerabilidad zero-day en Windows para distribuir malware avanzado

El grupo de amenazas conocido como EncryptHub ha sido identificado como responsable de explotar una vulnerabilidad recientemente parcheada en Microsoft Windows, utilizando técnicas sofisticadas para desplegar múltiples familias de malware, incluyendo backdoors y robadores de información como Rhadamanthys y StealC. Este ataque destaca por su enfoque en la manipulación de archivos .msc y rutas de la Interfaz Multilingüe de Usuario (MUIPath) para descargar y ejecutar cargas maliciosas.

Fuente original

Mecanismo de explotación técnica

EncryptHub aprovechó una vulnerabilidad zero-day en Windows que permitía la ejecución remota de código (RCE) mediante la manipulación de archivos .msc (Microsoft Management Console). Estos archivos, diseñados para configuraciones administrativas, fueron alterados para redirigir a los usuarios a servidores controlados por los atacantes. La explotación también involucró el abuso de MUIPath, un componente del sistema operativo que gestiona recursos multilingües, para evadir detecciones y persistir en el sistema comprometido.

  • Inyección de código malicioso: Los atacantes incrustaron scripts PowerShell ofuscados dentro de los archivos .msc legítimos.
  • Descarga en etapas: El payload inicial activaba la descarga de módulos adicionales desde servidores C2 (Command and Control).
  • Persistencia: Se registraron tareas programadas y claves de registro para mantener el acceso.

Malware distribuido: Rhadamanthys y StealC

Entre las cargas maliciosas identificadas se encuentran:

  • Rhadamanthys: Un infostealer modular que roba credenciales, cookies de navegadores y datos de billeteras criptográficas. Utiliza técnicas de evasión como la inyección en procesos legítimos (ej. explorer.exe).
  • StealC: Especializado en extraer información financiera, incluyendo datos de tarjetas de crédito y formularios autocompletados en navegadores.

Implicaciones para la seguridad corporativa

Este incidente subraya varios desafíos críticos:

  • Parcheo oportuno: La vulnerabilidad ya estaba parcheada al momento del ataque, pero muchos sistemas no habían aplicado la actualización.
  • Detección avanzada: Técnicas como el abuso de MUIPath requieren soluciones EDR (Endpoint Detection and Response) con capacidades de análisis de comportamiento.
  • Educación del usuario: Los archivos .msc maliciosos eran distribuidos mediante ingeniería social, aprovechando la confianza en extensiones aparentemente legítimas.

Recomendaciones de mitigación

  • Aplicar inmediatamente el parche de seguridad correspondiente (Microsoft KB5035845).
  • Implementar reglas de bloqueo para scripts PowerShell no firmados en entornos corporativos.
  • Monitorizar actividades sospechosas relacionadas con accesos a MUIPath o modificaciones en archivos .msc.
  • Utilizar herramientas de análisis de amenazas capaces de detectar ofuscación en scripts y comportamientos anómalos de procesos.

Este caso demuestra la creciente sofisticación de los grupos de amenazas en el aprovechamiento de vulnerabilidades combinado con técnicas de evasión avanzadas. La respuesta efectiva requiere tanto medidas técnicas actualizadas como concienciación continua sobre vectores de ataque emergentes.

“`

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta