ActualidadBullhostCiberseguridadComunicado

Nuevo malware de Windows ha sido descubierto: Pingback

Por 10 de mayo de 2021 Sin comentarios

El malware llamado Pingback, ha sido descubierto. Utiliza el Protocolo de mensajes de control de Internet, conocido como ICMP, para sus actividades C2 que se dirige a los sistemas Microsoft Windows de 64 bits.  Además, utiliza la técnica de secuestro de DLL para establecer la persistencia en el sistema infectado. Por lo que puede llevar a cabo actividades de comando y control.

Según relata Cibersecurity News, «los investigadores descubrieron un archivo malicioso identificado como oci. Dll. Este archivo DLL de 66 KB se coloca en la carpeta del sistema de Windows mediante otro proceso malicioso o vector de ataque. El vector de entrada inicial de oci. Dll aún no se ha descubierto. Sin embargo, otra muestra de malware, Updata Exe. coloca el oci. DLL malicioso en la carpeta Sistema y configura el Control de transacciones distribuidas de Microsoft (msdtc) para que se ejecute en cada inicio».

Añaden que esta DLL se basó en el secuestro de DLL en lugar de ser cargada por la aplicación de Windows rundll32 Exe. Con este método, los atacantes pueden aprovechar los procesos confiables de Windows para ejecutar código malicioso arbitrario. Además, el servicio msdtc se utiliza para cargar oci. Dll malicioso. Al iniciarse, el servicio msdtc busca 3 DLL para cargar: xa80. Dll, oci. Dll y SqlLib80. Dll.

Es la era en la que los ciberdelincuentes están desarrollando cada vez más y mejores malwares, para que estos pasen desapercibidos. Es decir, desarrollan mejores técnicas para evadir detecciones.