Tema

Análisis de malware

The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.

imagen de marcador de posición
Apostar a los bots: investigar el malware de Linux, la criptominería y el abuso de las API de juegos de azar

Apostar a los bots: investigar el malware de Linux, la criptominería y el abuso de las API de juegos de azar

La campaña REF6138 incluía criptominería, ataques DDoS y posible blanqueo de dinero a través de API de juegos de azar, lo que pone de relieve el uso por parte de los atacantes de malware en evolución y canales de comunicación sigilosos.

Código de conducta: intrusiones impulsadas por Python de la RPDC en redes seguras

Código de conducta: intrusiones impulsadas por Python de la RPDC en redes seguras

Con la investigación del uso estratégico de Python por parte de la RPDC y la ingeniería social cuidadosamente diseñada, esta publicación arroja luz sobre cómo se violan redes altamente seguras con ataques cibernéticos efectivos y en evolución.

Más allá del lamento: deconstruir el infostealer de BANSHEE

Más allá del lamento: deconstruir el infostealer de BANSHEE

El malware BANSHEE es un infostealer basado en macOS cuyo objetivo es la información del sistema, los datos del navegador y las billeteras de criptomonedas.

BITS y Bytes: Análisis de BITSLOTH, una puerta trasera recientemente identificada

BITS y Bytes: Análisis de BITSLOTH, una puerta trasera recientemente identificada

Elastic Security Labs identificó una novedosa puerta trasera de Windows que aprovecha el Background Intelligent Transfer Service (BITS) para C2. Este malware se encontró durante un grupo de actividad reciente rastreado como REF8747.

Sumergir en el peligro: la puerta trasera de WARMCOOKIE

Sumergir en el peligro: la puerta trasera de WARMCOOKIE

Elastic Security Labs observó que los actores de amenazas se hacían pasar por compañías de reclutamiento para desplegar una nueva puerta trasera de malware llamada WARMCOOKIE. Este malware tiene capacidades de puerta trasera estándar, incluida la captura de capturas de pantalla, la ejecución de malware adicional y la lectura/escritura de archivos.

Ladrones distribuidos globalmente

Ladrones distribuidos globalmente

Este artículo describe nuestro análisis de las principales familias de ladrones de malware, revelando sus metodologías de operación, actualizaciones recientes y configuraciones. Al comprender el modus operandi de cada familia, comprendemos mejor la magnitud de su impacto y podemos fortalecer nuestras defensas en consecuencia.

Limpieza de primavera con LATRODECTUS: un posible sustituto de ICEDID

Limpieza de primavera con LATRODECTUS: un posible sustituto de ICEDID

Elastic Security Labs observó un repunte en un cargador emergente reciente conocido como LATRODECTUS. Esta cargadora liviana tiene un gran impacto con vínculos con ICEDID y puede convertir en un posible reemplazo para llenar el vacío en el mercado de cargadores.

Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, cuarta parte

Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, cuarta parte

En artículos anteriores de este serial de varias partes, los investigadores de malware del equipo de Elastic Security Labs descompusieron la estructura de configuración de REMCOS y dieron detalles sobre sus comandos C2. En esta parte final, aprenderás más sobre cómo detectar y buscar REMCOS con tecnologías de Elastic.

Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, tercera parte

Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, tercera parte

En artículos anteriores de este serial de varias partes, los investigadores de malware del equipo de Elastic Security Labs se sumergieron en el flujo de ejecución de REMCOS. En este artículo, aprenderá más sobre la estructura de configuración de REMCOS y sus comandos C2.

Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, segunda parte

Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, segunda parte

En el artículo anterior de este serial sobre el implante REMCOS, compartimos información sobre la ejecución, la persistencia y los mecanismos de evasión de la defensa. Continuando con este serial, cubriremos la segunda mitad de su flujo de ejecución y aprenderá más sobre las capacidades de grabación de REMCOS y la comunicación con su C2.

Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, primera parte

Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, primera parte

Este artículo de investigación sobre malware describe el implante REMCOS a un alto nivel y proporciona antecedentes para futuros artículos de este serial de varias partes.

Introducción a los aspectos internos de la descompilación de Hex-Rays

Introducción a los aspectos internos de la descompilación de Hex-Rays

En esta publicación, profundizamos en el microcódigo de Hex-Rays y exploramos técnicas para manipular el CTree generado para desofuscar y anotar el código descompilado.

Poner pegajoso con GULOADER: desofuscando el descargador

Poner pegajoso con GULOADER: desofuscando el descargador

Elastic Security Labs repasa las contramedidas de análisis de GULOADER actualizadas.

El elástico atrapa a la RPDC y desmaya a KANDYKORN

El elástico atrapa a la RPDC y desmaya a KANDYKORN

Elastic Security Labs expone un intento de la RPDC de infectar a los ingenieros de blockchain con el nuevo malware de macOS.

GHOSTPULSE persigue a las víctimas usando la bolsa de trucos de evasión de defensa

GHOSTPULSE persigue a las víctimas usando la bolsa de trucos de evasión de defensa

Elastic Security Labs revela detalles de una nueva campaña que aprovecha las capacidades de evasión de defensa para infectar a las víctimas con ejecutables MSIX maliciosos.

Revelando la puerta trasera de BLOODALCHEMY

Revelando la puerta trasera de BLOODALCHEMY

BLOODALCHEMY es una nueva puerta trasera desarrollada activamente que aprovecha un binario benigno como vehículo de inyección, y es parte del conjunto de intrusión REF5961.

Bailando toda la noche con pipas nombradas - Lanzamiento del cliente de PIPEDANCE

Bailando toda la noche con pipas nombradas - Lanzamiento del cliente de PIPEDANCE

En esta publicación, repasaremos la funcionalidad de esta aplicación cliente y cómo empezar a emplear la herramienta.

Presentación del conjunto de intrusión REF5961

Presentación del conjunto de intrusión REF5961

El conjunto de intrusión REF5961 revela tres nuevas familias de malware dirigidas a los afiliados a la ASEAN. El actor de amenazas que aprovecha este conjunto de intrusiones continúa desarrollando y madurando sus capacidades.

Revisitando BLISTER: Nuevo desarrollo del cargador de blíster

Revisitando BLISTER: Nuevo desarrollo del cargador de blíster

Elastic Security Labs profundiza en la evolución reciente de la familia de malware BLISTER loader.

NAPLISTENER: más malos sueños de los desarrolladores de SIESTAGRAPH

NAPLISTENER: más malos sueños de los desarrolladores de SIESTAGRAPH

Elastic Security Labs observa que la amenaza detrás de SIESTAGRAPH cambió las prioridades del robo de datos al acceso persistente, implementando nuevo malware como NAPLISTENER para evadir la detección.

Respuesta de Elastic a SPECTRALVIPER

Respuesta de Elastic a SPECTRALVIPER

Elastic Security Labs descubrió las familias de malware P8LOADER, POWERSEAL y SPECTRALVIPER dirigidas a una agroindustria nacional vietnamita. REF2754 comparte malware y elementos motivacionales de los grupos de actividad REF4322 y APT32.

Elastic Security Labs avanza paso a paso a través del rootkit r77

Elastic Security Labs avanza paso a paso a través del rootkit r77

Elastic Security Labs explora una campaña que aprovecha el rootkit r77 y se observó desplegando el minero de criptomonedas XMRIG. La investigación destaca los diferentes módulos del rootkit y cómo se emplean para implementar cargas maliciosas adicionales.

Elastic Security Labs descubre el malware LOBSHOT

Elastic Security Labs descubre el malware LOBSHOT

Elastic Security Labs nombra a una nueva familia de malware, LOBSHOT. LOBSHOT se propaga e infiltra en redes específicas a través de sesiones de Google Ads y hVNC para implementar puertas traseras que se hacen pasar por instaladores de aplicaciones legítimos.

Usuarios de Elastic protegidos del ataque a la cadena de suministro de SUDDENICON

Usuarios de Elastic protegidos del ataque a la cadena de suministro de SUDDENICON

Elastic Security Labs está lanzando un análisis de triaje para ayudar a los clientes de 3CX en la detección inicial de SUDDENICON, un posible compromiso de la cadena de suministro que afecta a los usuarios de softphone VOIP de 3CX.

Cargador de blíster

Cargador de blíster

El cargador BLISTER se sigue empleando activamente para cargar una variedad de malware.

La cadena de ataque conduce a XWORM y AGENTTESLA

La cadena de ataque conduce a XWORM y AGENTTESLA

Nuestro equipo observó recientemente una nueva campaña de malware que emplea un proceso bien desarrollado con múltiples etapas. La campaña está diseñada para engañar a los usuarios desprevenidos para que hagan clic en los documentos, que parecen ser legítimos.

Ya no se duerme: la llamada de atención de SOMNIRECORD

Ya no se duerme: la llamada de atención de SOMNIRECORD

Los investigadores de Elastic Security Labs identificaron una nueva familia de malware escrita en C++ a la que nos referimos como SOMNIRECORD. Este malware funciona como una puerta trasera y se comunica con comando y control (C2) mientras se hace pasar por DNS.

Deshielo del permafrost de ICEDID Resumen

Deshielo del permafrost de ICEDID Resumen

Elastic Security Labs analizó una variante reciente de ICEDID que consta de un cargador y una carga útil de bot. Al proporcionar esta investigación a la comunidad de principio a fin, esperamos crear conciencia sobre la cadena de ejecución, las capacidades y el diseño de ICEDID.

Dos vueltas alrededor de la pista de baile - Elastic descubre la puerta trasera de PIPEDANCE

Dos vueltas alrededor de la pista de baile - Elastic descubre la puerta trasera de PIPEDANCE

Elastic Security Labs está rastreando una intrusión activa en una organización vietnamita mediante una puerta trasera multisalto que se puede activar recientemente y que llamamos PIPEDANCE. Este malware con todas las funciones permite operaciones sigilosas mediante el uso de

Análisis de malware CUBA Ransomware

Análisis de malware CUBA Ransomware

Elastic Security realizó un análisis técnico profundo de la familia de ransomware CUBA. Esto incluye capacidades de malware, así como contramedidas defensivas.

Análisis de malware QBOT

Análisis de malware QBOT

Elastic Security Labs publica un reporte de análisis de malware QBOT que cubre la cadena de ejecución. A partir de esta investigación, el equipo produjo una regla YARA, un extractor de configuración e indicadores de compromisos (IOC).

Explorando el conjunto de intrusiones REF2731

Explorando el conjunto de intrusiones REF2731

El equipo de Elastic Security Labs estuvo rastreando REF2731, un conjunto de intrusiones de 5 etapas que involucra al cargador PARALLAX y al NETWIRE RAT.

Análisis de malware de BUGHATCH

Análisis de malware de BUGHATCH

Elastic Security realizó un análisis técnico profundo del malware BUGHATCH. Esto incluye capacidades, así como contramedidas defensivas.

Elastic protege contra el malware de borrado de datos dirigido a Ucrania: HERMETICWIPER

Elastic protege contra el malware de borrado de datos dirigido a Ucrania: HERMETICWIPER

Análisis del malware HERMETICWIPER dirigido a organizaciones ucranianas.

De costa a costa: escalando la pirámide con el implante Deimos

De costa a costa: escalando la pirámide con el implante Deimos

El implante Deimos se informó por primera vez en 2020 y estuvo en desarrollo activo; Emplear contramedidas de análisis avanzadas para frustrar el análisis. En este post se detallan las TTPs de la campaña a través de los indicadores de malware.