EncryptHub vinculado a ataques de día cero de MMC en sistemas Windows

Iniciado por AXCESS, Marzo 26, 2025, 12:05:17 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 26, 2025, 12:05:17 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un actor de amenazas conocido como EncryptHub ha sido vinculado a ataques de día cero en Windows que explotan una vulnerabilidad de la Consola de Administración de Microsoft, parcheada este mes.

Descubierta por el investigador de Trend Micro, Aliakbar Zahravi, esta omisión de la función de seguridad (denominada "MSC EvilTwin" y ahora identificada como CVE-2025-26633) reside en la forma en que se gestionan los archivos MSC en dispositivos vulnerables.

Los atacantes pueden aprovechar esta vulnerabilidad para evadir las protecciones de reputación de archivos de Windows y ejecutar código, ya que no se advierte al usuario antes de cargar archivos MSC inesperados en dispositivos sin parches.

"En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando el archivo especialmente diseñado al usuario y convenciéndolo de que lo abra", explica Microsoft en un aviso emitido durante el Martes de Parches de este mes. "En un escenario de ataque web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para explotar la vulnerabilidad".

En ataques detectados por los investigadores de Trend Micro antes de informar de la falla a Microsoft, EncryptHub (también conocido como Water Gamayun o Larva-208) utilizó exploits de día cero CVE-2025-26633 para ejecutar código malicioso y extraer datos de los sistemas comprometidos.

A lo largo de esta campaña, el actor de amenazas ha desplegado múltiples cargas útiles maliciosas vinculadas a ataques anteriores contra EncryptHub, incluyendo el ladrón EncryptHub, la puerta trasera DarkWisp, la puerta trasera SilentPrism, Stealc, el ladrón Rhadamanthys y el cargador de troyanos MSC EvilTwin basado en PowerShell.

En este ataque, el actor de amenazas manipula archivos .msc y la Ruta de Interfaz de Usuario Multilingüe (MUIPath) para descargar y ejecutar una carga maliciosa, mantener la persistencia y robar datos confidenciales de los sistemas infectados, declaró Zahravi en un informe publicado el martes.

Esta campaña se encuentra en desarrollo activo; emplea múltiples métodos de entrega y cargas útiles personalizadas diseñadas para mantener la persistencia y robar datos confidenciales, para luego exfiltrarlos a los servidores de comando y control (C&C) de los atacantes.

Al analizar estos ataques, Trend Micro también encontró una versión preliminar de esta técnica utilizada en un incidente ocurrido en abril de 2024.

La empresa de inteligencia de ciberamenazas Prodaft ha vinculado previamente a EncryptHub con brechas de seguridad en al menos 618 organizaciones en todo el mundo tras ataques de phishing selectivo e ingeniería social.

EncryptHub también implementa cargas útiles de ransomware para cifrar los archivos de las víctimas tras robar archivos confidenciales como afiliado de las operaciones de ransomware RansomHub y BlackSuit.

Este mes, Microsoft también parcheó una vulnerabilidad de día cero (CVE-2025-24983) en el subsistema del kernel Win32 de Windows, que había sido explotada en ataques desde marzo de 2023.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario