Campaña de XWorm RAT distribuida mediante shellcode en archivos de Office

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente del troyano de acceso remoto XWorm, la cual emplea un proceso de infección en varias etapas que combina correos maliciosos y técnicas para evadir su detección.

Nueva campaña de Nimbus Manticore entrega la backdoor Minijunk y el stealer MiniBrowse

  • Importancia:
Recursos afectados

La puerta trasera (MiniJunk) y el stealer (MiniBrowse) permiten mantener acceso en los equipos, manipular archivos, ejecutar procesos y realizar captura y exfiltración de credenciales de navegadores basados en Chromium, la distribución se realiza mediante spear-phishing que redirige a portales de empleo falsos, desde los cuales se descargan archivos comprimidos que abusan binarios confiables de Windows para encadenar DLL sideloading y establecer persistencia.

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas