Redazione RHC : 9 septiembre 2025 07:35
eSentire ha informado del descubrimiento de una nueva botnet llamada NightshadeC2, que utiliza métodos no convencionales para evadir la protección y los entornos sandbox. El malware se distribuye mediante versiones falsificadas de programas legítimos como CCleaner, Express VPN, Advanced IP Scanner y Everything, así como mediante el esquema ClickFix, en el que se solicita a la víctima que introduzca un comando en la ventana Ejecutar tras completar un captcha falso.
La característica principal de NightshadeC2 es una técnica que los expertos denominan «bombardeo del aviso del UAC». El programa de descarga ejecuta un script de PowerShell que intenta añadir el malware a la lista de exclusión de Windows Defender. Si el usuario se niega a confirmar la acción mediante el aviso del UAC, la ventana aparece repetidamente, impidiéndole usar el equipo hasta que acepte.
Este método también previene eficazmente la ejecución de malware en entornos aislados: si el servicio Defender está deshabilitado, el script se bloquea en un bucle y la carga útil no se ejecuta. Esto le permite eludir entornos de análisis como Any.Run, CAPEv2 y Joe Sandbox.
La carga útil principal de NightshadeC2 está escrita en C, pero también se han detectado versiones simplificadas de Python, presumiblemente generadas mediante inteligencia artificial. La variante C usa los puertos 7777, 33336, 33337 y 443, mientras que Python usa el puerto 80. El archivo infectado, camuflado como updater.exe, recopila información de la IP del sistema y la IP externa al ejecutarse, utiliza cifrado RC4 para comunicarse con el servidor de comandos y establece persistencia en el sistema mediante las claves de registro Winlogon, RunOnce y Active Setup.
NightshadeC2 ofrece una amplia gama de funciones que permiten a los atacantes tomar el control total del sistema infectado. El malware proporciona acceso remoto a través de shell inverso, iniciando sesiones ocultas de PowerShell o la línea de comandos. Descarga y ejecuta archivos adicionales en formato DLL o EXE y, si es necesario, se elimina automáticamente del dispositivo.
NightshadeC2 admite control remoto completo, incluyendo capturas de pantalla y emulación de acciones del usuario, y también puede ejecutar navegadores ocultos (Chrome, Edge, Firefox y Brave) en un escritorio independiente. Además, NightshadeC2 registra las pulsaciones de teclas y los cambios en el portapapeles, y puede extraer contraseñas y cookies de los navegadores instalados que utilizan los motores Chromium y Gecko.
Los datos del usuario se guardan en archivos ocultos, cuyos nombres dependen del nivel de permisos (por ejemplo, JohniiDepp y LuchiiSvet). El keylogger utiliza una ventana oculta y ganchos estándar de WinAPI para capturar las pulsaciones de teclas y el contenido del portapapeles. Los atacantes pueden controlar el sistema infectado copiando y pegando texto, emulando la entrada y abriendo navegadores o ventanas del sistema en el escritorio oculto. Algunas variantes de NightshadeC2 reciben la dirección del servidor de control directamente del perfil de Steam, lo que permite modificar C2 sin actualizar el malware.
También se han identificado dos métodos para eludir el Control de Cuentas de Usuario (UAC). Uno explota una antigua vulnerabilidad en el servidor RPC, el otro está integrado en el gestor de arranque y se activa en sistemas anteriores a Windows 11. El segundo explota una combinación de reg y schtasks, que ejecuta el malware con privilegios elevados sin intervención del usuario y lo añade a las excepciones de Windows Defender.
Para protegerse contra este problema, los expertos recomiendan deshabilitar la ventana Ejecutar mediante GPO (sección del menú Inicio y la barra de tareas), capacitar a los empleados para reconocer el phishing y la ingeniería social, y utilizar soluciones EDR o NGAV modernas que puedan detectar comportamientos de malware atípicos.
Según los investigadores, NightshadeC2 es una herramienta versátil. con funciones de puerta trasera, espionaje y sigilo, y la técnica de bomba UAC que utiliza es una forma simple pero efectiva de eludir tanto la protección del usuario como el análisis automatizado.
RedazioneLos atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
