cuidado con este peligroso malware que se esconde en las tareas programadas del sistema

Microsoft acaba de descubrir un nuevo malware utilizado por hackers del grupo Hafnium, un colectivo afiliado al gobierno chino. Este malware tiene la capacidad de mantener el acceso de dispositivos pirateados a través de tareas programadas ocultas.

Créditos: Unsplash

Desde el comienzo de la guerra en Ucrania, ha habido un aumento en los ataques cibernéticos llevados a cabo por grupos de piratas informáticos afiliados al gobierno chino. Sabemos, por ejemplo, que los piratas informáticos chinos se están aprovechando del conflicto actual para recuperar datos confidenciales, en particular haciéndose pasar por entidades gubernamentales.

Más recientemente, piratas informáticos vinculados a China secuestraron el reproductor multimedia VLC para usarlo como distribuidor de malware peligroso en las PC de los usuarios de software. Sin embargo, el hallazgo del día es para Microsoft. La firma de Redmond descubrió un nuevo malware utilizado por el grupo de hackers Hafniumun colectivo apoyado por China.

Microsoft descubre malware que explota fallas de día cero en Windows

Según las declaraciones de la empresa estadounidense, este grupo actualmente está explotando vulnerabilidades de día cero no identificadas en Windows 11 y 10 para difundir malware llamado Tarrask. Obviamente, este malware es capaz de crear tareas programadas “ocultas”, así como comandos posteriores para eliminar los atributos de las tareas en cuestión. El objetivo es esconderlos de los ojos de los medios tradicionales de detección.

Como explica Microsoft, el grupo de piratas informáticos utilizó estas tareas programadas “ocultas” para mantener el acceso a los dispositivos pirateados, incluso después de un reinicio completo, restableciendo las conexiones rotas con la infraestructura de comando y control de C2. Estas tareas ocultas solo se pueden encontrar después de Escrutinio minucioso en el editor de registro de Windowsespecialmente buscando tareas programadas sin un valor SD (Descripción de seguridad) en su clave de tarea.

Tenga en cuenta que los administradores también pueden habilitar los registros Security.evtx y Microsoft-Windows-TaskScheduler/Operational.evtx para verificar los elementos clave relacionados con las tareas “ocultas” por el malware Tarrask. “Reconocemos que las tareas programadas son una herramienta eficaz para que los adversarios automaticen ciertas tareas mientras logran la persistencia, lo que nos lleva a crear conciencia sobre esta técnica de uso regular”. concluye Microsoft en su comunicado de prensa. Como recordatorio, Estados Unidos contrarrestó recientemente un ciberataque de clase mundial al eliminar el malware ruso presente en los sistemas de muchas empresas e instituciones estadounidenses. Microsoft había participado en el esfuerzo de guerra.

Leave a Reply

Your email address will not be published.