![\"\"](\"https:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2020\/02\/pexels-photo-300x200.jpeg\")
<\/p>\n<\/p>\n
En noviembre del pasado a\u00f1o los investigadores de ESET descubrieron una nueva campa\u00f1a de malware<\/em><\/strong> llevada a cabo por el Grupo Winnti<\/strong>, la cual ten\u00eda como objetivos varias universidades de Hong Kong. Lo que los investigadores encontraron fue una variante de la puerta trasera ShadowPad <\/strong>(insignia del grupo), implementada usando un nuevo sistema de inicializaci\u00f3n (launcher<\/em>), la cual conten\u00eda numerosos m\u00f3dulos. El malware<\/em> Winnti tambi\u00e9n fue encontrado en las universidades afectadas unas semanas antes del descubrimiento de ShadowPad.<\/p>\n El Grupo Winnti, activo desde al menos el a\u00f1o 2012, es responsable por ataques en cadena de perfil alto contra industrias de videojuegos y software<\/em>, habiendo causado la distribuci\u00f3n de software<\/em> infectado<\/strong> (como por ejemplo CCleaner, ASUS LiveUpdate y varios videojuegos) que es usado para luego comprometer a m\u00e1s v\u00edctimas. Tambi\u00e9n se le conoce por haber comprometido a varios objetivos en los sectores de la educaci\u00f3n y la sanidad.<\/p>\n ShadowPad ha sido encontrado en varias universidades en Hong Kong<\/strong><\/p>\n Como se indic\u00f3 anteriormente, en noviembre de 2019 los investigadores en ESET, mediante el uso de su tecnolog\u00eda de machine-learning<\/em> Augur, detectaron una muestra maliciosa y \u00fanica que estaba presente en numerosos ordenadores de dos universidades de Hong Kong, donde el malware<\/em> Winnti ya hab\u00eda sido encontrado a finales de octubre de ese mismo a\u00f1o. La muestra maliciosa detectada por Augur es un nuevo sistema de inicializaci\u00f3n de 32 bit<\/strong>. Las muestras tanto de ShadowPad como de Winnti descubiertas en estas universidades contienen identificadores de campa\u00f1a y URLs de C&C con los nombres de las universidades, lo que indica que se trata de un ataque espec\u00edfico para estas entidades.<\/p>\n Adem\u00e1s de las dos universidades comprometidas, gracias al formato usado por los atacantes para las URLs del C&C se sospecha que al menos otras tres universidades de la misma regi\u00f3n se han visto afectadas<\/strong> por estas mismas variantes de ShadowPad y Winnti.<\/p>\n Sistema de inicializaci\u00f3n actualizado<\/strong><\/p>\n A diferencia de otras variantes de ShadowPad, el sistema de inicializaci\u00f3n utilizado en este caso no se encuentra ofuscado con VMProtect<\/strong>. Adem\u00e1s, el payload<\/em> cifrado tampoco se encuentra dentro del c\u00f3digo ni en un conjunto de datos alternativo como COM1:NULL.dat<\/em>. Asimismo, el cifrado habitual RC5 con una clave derivada de la ID del volumen del equipo v\u00edctima tampoco est\u00e1 presente. En este caso el <\/em>sistema de inicializaci\u00f3n resulta ser mucho m\u00e1s simple<\/strong>.<\/p>\n Carga lateral de DLL<\/p>\n El sistema de inicializaci\u00f3n es una DLL de 32 bit llamada hpqhvsei.dll<\/em><\/strong>, el cual es el nombre de una DLL leg\u00edtima cargada por hpqhvind.exe<\/em>. Este ejecutable es de HP y normalmente es instalado con su software de impresi\u00f3n y escaneo llamado \u00abHP Digital Imaging\u00bb. En este caso el ejecutable leg\u00edtimo hpqhvind.exe<\/em> fue lanzado por los atacantes junto a la DLL maliciosa hpqhvsei.dll<\/em> en la ruta C:\\Windows\\Temp.<\/p>\n La presencia de estos archivos, seg\u00fan ESET, podr\u00edan indicar que la ejecuci\u00f3n inicial de este sistema de inicializaci\u00f3n se hace mediante la carga lateral de DLL.<\/p>\n Podr\u00e1 encontrar mas detalles en el sitio de Segurm\u00e1tica.<\/a><\/p>\n En noviembre del pasado a\u00f1o los investigadores de ESET descubrieron una nueva campa\u00f1a de malware llevada a cabo por el Grupo Winnti, la cual ten\u00eda como objetivos varias universidades de Hong Kong. Lo que los investigadores encontraron fue una variante de la puerta trasera ShadowPad (insignia … Sigue leyendo Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"