Redazione RHC : 9 septiembre 2025 07:35
eSentire ha informado del descubrimiento de una nueva botnet llamada NightshadeC2, que utiliza métodos no convencionales para evadir la protección y los entornos sandbox. El malware se distribuye mediante versiones falsificadas de programas legítimos como CCleaner, Express VPN, Advanced IP Scanner y Everything, así como mediante el esquema ClickFix, en el que se solicita a la víctima que introduzca un comando en la ventana Ejecutar tras completar un captcha falso.
La característica principal de NightshadeC2 es una técnica que los expertos denominan «bombardeo del aviso del UAC». El programa de descarga ejecuta un script de PowerShell que intenta añadir el malware a la lista de exclusión de Windows Defender. Si el usuario se niega a confirmar la acción mediante el aviso del UAC, la ventana aparece repetidamente, impidiéndole usar el equipo hasta que acepte.
Este método también previene eficazmente la ejecución de malware en entornos aislados: si el servicio Defender está deshabilitado, el script se bloquea en un bucle y la carga útil no se ejecuta. Esto le permite eludir entornos de análisis como Any.Run, CAPEv2 y Joe Sandbox.
La carga útil principal de NightshadeC2 está escrita en C, pero también se han detectado versiones simplificadas de Python, presumiblemente generadas mediante inteligencia artificial. La variante C usa los puertos 7777, 33336, 33337 y 443, mientras que Python usa el puerto 80. El archivo infectado, camuflado como updater.exe, recopila información de la IP del sistema y la IP externa al ejecutarse, utiliza cifrado RC4 para comunicarse con el servidor de comandos y establece persistencia en el sistema mediante las claves de registro Winlogon, RunOnce y Active Setup.
NightshadeC2 ofrece una amplia gama de funciones que permiten a los atacantes tomar el control total del sistema infectado. El malware proporciona acceso remoto a través de shell inverso, iniciando sesiones ocultas de PowerShell o la línea de comandos. Descarga y ejecuta archivos adicionales en formato DLL o EXE y, si es necesario, se elimina automáticamente del dispositivo.
NightshadeC2 admite control remoto completo, incluyendo capturas de pantalla y emulación de acciones del usuario, y también puede ejecutar navegadores ocultos (Chrome, Edge, Firefox y Brave) en un escritorio independiente. Además, NightshadeC2 registra las pulsaciones de teclas y los cambios en el portapapeles, y puede extraer contraseñas y cookies de los navegadores instalados que utilizan los motores Chromium y Gecko.
Los datos del usuario se guardan en archivos ocultos, cuyos nombres dependen del nivel de permisos (por ejemplo, JohniiDepp y LuchiiSvet). El keylogger utiliza una ventana oculta y ganchos estándar de WinAPI para capturar las pulsaciones de teclas y el contenido del portapapeles. Los atacantes pueden controlar el sistema infectado copiando y pegando texto, emulando la entrada y abriendo navegadores o ventanas del sistema en el escritorio oculto. Algunas variantes de NightshadeC2 reciben la dirección del servidor de control directamente del perfil de Steam, lo que permite modificar C2 sin actualizar el malware.
También se han identificado dos métodos para eludir el Control de Cuentas de Usuario (UAC). Uno explota una antigua vulnerabilidad en el servidor RPC, el otro está integrado en el gestor de arranque y se activa en sistemas anteriores a Windows 11. El segundo explota una combinación de reg y schtasks, que ejecuta el malware con privilegios elevados sin intervención del usuario y lo añade a las excepciones de Windows Defender.
Para protegerse contra este problema, los expertos recomiendan deshabilitar la ventana Ejecutar mediante GPO (sección del menú Inicio y la barra de tareas), capacitar a los empleados para reconocer el phishing y la ingeniería social, y utilizar soluciones EDR o NGAV modernas que puedan detectar comportamientos de malware atípicos.
Según los investigadores, NightshadeC2 es una herramienta versátil. con funciones de puerta trasera, espionaje y sigilo, y la técnica de bomba UAC que utiliza es una forma simple pero efectiva de eludir tanto la protección del usuario como el análisis automatizado.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
