Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Después de una oferta pública inicial de 18 mil millones de dólares, el fundador de Bending Spoons dice que el éxito proviene de minimizar la suerte

Una falla sin parchear en el servidor de repositorio de Argo CD podría permitir a los atacantes apoderarse de los clústeres de Kubernetes

El sospechoso de Scattered Spider, de 19 años, es extraditado a Estados Unidos por cargos de piratería informática

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»La cadena de malware VEIL#DROP utiliza la plataforma Blogger para distribuir PureLogs Stealer
Identidad

La cadena de malware VEIL#DROP utiliza la plataforma Blogger para distribuir PureLogs Stealer

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 1, 2026No hay comentarios4 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Los investigadores de ciberseguridad han señalado una nueva cadena de ataques de entrega de malware en varias etapas que utiliza ingeniería social y páginas de Blogger para entregar una herramienta de robo de información llamada PureLogs.

En Securonix, esta actividad tiene el nombre en código VEIL#DROP. Se sospecha que la carga útil inicial se distribuyó mediante phishing o ataque oculto. Una infracción de seguridad ocurre cuando un usuario desprevenido visita un sitio web (legítimo o no) que está bajo el control de un atacante.

«La cadena de infección comienza con un archivo JavaScript con un nombre falso disfrazado de documento (por ejemplo, transcript.pdf.js), que se ejecuta a través de Windows Script Host e inicia PowerShell con la omisión de la política de ejecución habilitada», escribieron los investigadores Akshay Gaikwad, Shikha Sangwan, Aaron Beardslee y sus colegas en un informe compartido con The Hacker News.

En un nivel alto, el script de PowerShell es responsable de recuperar la carga útil de la siguiente etapa (‘htlwub00klocate.blogspot(.)com’) alojada en Blogger. Esto permite a los atacantes eludir las defensas basadas en la reputación y mezclarse con la actividad web legítima explotando la infraestructura confiable de Google como escenario.

Si bien la carga útil de PowerShell descargada actúa como un conducto para cargar una página web benigna como la de Google, dando la impresión de que se está abriendo un documento PDF, la secuencia de infección avanza silenciosamente en segundo plano, lo que finalmente conduce a la implementación de PureLogs Stealer, un ladrón de información basado en .NET conocido por recopilar diversos datos confidenciales de hosts comprometidos.

El cargador de PowerShell también garantiza la ejecución sin restricciones de comandos de PowerShell posteriores, finaliza procesos seleccionados como ‘wscript.exe’ para minimizar los rastros forenses, elimina ‘transcript.pdf.js’ para eliminar evidencia de ejecución e intenta descifrar cargas útiles incrustadas.

«Una vez que el descifrado XOR tiene éxito, el cargador pasa a uno de los componentes más evasivos del marco VEIL#DROP: generación dinámica de etapas combinada con mutaciones en tiempo de ejecución», explicó Securonix. «En lugar de utilizar indicadores estáticos como URL codificadas o patrones de ejecución predecibles, el malware construye dinámicamente la ubicación de su carga útil de la siguiente etapa durante la ejecución».

Esto implica construir una URL de blogspot(.)com única para cada ejecución insertando un número aleatorio de barras (“https://thehackernews.com/”) en la cadena de URL para evitar firmas de URL estáticas, bloqueos basados ​​en indicadores y mecanismos de filtrado basados ​​en URL.

Además, los scripts decodificados introducen mutaciones y polimorfismo en tiempo de ejecución al reemplazar los valores de marcador de posición en el script con cadenas y valores generados aleatoriamente durante la ejecución. Esta variabilidad está diseñada para invalidar la firma de scripts y el hash de archivos, impidiendo así una detección confiable.

Los scripts reconstruidos terminan ejecutándose completamente en la memoria, sin dejar artefactos en el disco. Este componente actúa como un cargador responsable de decodificar y ejecutar los componentes principales del malware. El componente principal del malware no es más que un ensamblaje .NET que se inicia mediante una técnica conocida como carga de código reflectante.

Si los controles de seguridad u otras restricciones ambientales le impiden ejecutar el ensamblado .NET recuperado directamente desde la memoria, el cargador incluye métodos de ejecución alternativos que dependen de archivos binarios firmados por Microsoft (como «regsvcs.exe», «installutil.exe», «msbuild.exe» y «aspnet_compiler.exe») para lograr el mismo objetivo sin llamar la atención.

Debido a que Microsoft confía en estos binarios, los firma y ya están presentes en el sistema, el enfoque Living-off-the-land (LotL) permite a los atacantes disfrazar su actividad como legítima y pasar desapercibida.

«Uno de los aspectos más notables del cargador es que no depende de un solo LOLBin», señalaron los investigadores. «En cambio, la ejecución sigue un modelo en cascada y se intenta hasta que uno de los métodos tiene éxito».

El impacto de una infección de ladrón normalmente se extiende más allá del punto final inicialmente comprometido. Esto se debe a que los datos recopilados pueden servir como un trampolín para profundizar en el entorno de destino, establecer persistencia, realizar movimientos laterales y penetrar la infraestructura de la nube.

«La combinación de sitios web comprometidos, enmascaramiento de múltiples extensiones, servicios de nube confiables, cargas útiles ofuscadas por XOR, carga reflectante de .NET, ejecución sin archivos y explotación LOLBIN demuestran un esfuerzo deliberado para evadir las soluciones antivirus tradicionales, reducir los artefactos forenses y mantener el sigilo operativo durante todo el ciclo de vida de la infección», dijo Securonix.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleLime recauda 167 millones de dólares en IPO después de años provocando su debut público
Next Article El sitio de software contaminado con SEO explota ScreenConnect para implementar AsyncRAT
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Una falla sin parchear en el servidor de repositorio de Argo CD podría permitir a los atacantes apoderarse de los clústeres de Kubernetes

julio 1, 2026

El sospechoso de Scattered Spider, de 19 años, es extraditado a Estados Unidos por cargos de piratería informática

julio 1, 2026

El sitio de software contaminado con SEO explota ScreenConnect para implementar AsyncRAT

julio 1, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Después de una oferta pública inicial de 18 mil millones de dólares, el fundador de Bending Spoons dice que el éxito proviene de minimizar la suerte

Una falla sin parchear en el servidor de repositorio de Argo CD podría permitir a los atacantes apoderarse de los clústeres de Kubernetes

El sospechoso de Scattered Spider, de 19 años, es extraditado a Estados Unidos por cargos de piratería informática

SpaceX tiene un prototipo de dispositivo con IA y seguro que parece un teléfono

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.