Redazione RHC : 5 noviembre 2025 12:27
Los atacantes están utilizando una técnica avanzada que consiste en la instalación de archivos DLL mediante la aplicación Microsoft OneDrive . Esto les permite ejecutar código malicioso sin ser detectados por los mecanismos de seguridad.
El ataque utiliza una biblioteca DLL modificada para secuestrar procesos legítimos de Windows y garantizar la persistencia en los sistemas infectados. Este método es especialmente eficaz porque evita las modificaciones persistentes del código que suelen identificar los sistemas de detección basados en firmas.
Según el aviso de seguridad de Kas-sec, los atacantes colocaron un archivo version.dll falsificado en el mismo directorio que OneDrive.exe, aprovechando el orden de búsqueda de dependencias de la aplicación.
Esta técnica ataca específicamente a version.dll porque muchas aplicaciones de Windows, incluyendo OneDrive, dependen de esta biblioteca para obtener información sobre la versión de los archivos. Al ejecutar OneDrive.exe, se carga la DLL maliciosa desde su directorio local antes de buscar en los directorios del sistema.
Al colocar estratégicamente la DLL maliciosa, los atacantes pueden ejecutar código dentro del contexto de confianza de una aplicación de Microsoft firmada digitalmente, eludiendo así los controles de seguridad diseñados para detectar procesos anómalos. Para mantener el sigilo y evitar el cierre inesperado de la aplicación, los atacantes utilizan métodos de proxy de DLL.
La versión maliciosa de la DLL exporta las mismas funciones que la biblioteca legítima , reenviando las llamadas a funciones legítimas a la versión System32 original de Windows mientras realiza operaciones en segundo plano.
Esta doble funcionalidad garantiza que OneDrive.exe siga funcionando con normalidad, reduciendo la probabilidad de detección por parte de los usuarios o del software de seguridad. El ataque utiliza una técnica avanzada de interceptación que aprovecha el manejo de excepciones y la bandera de protección de memoria PAGE_GUARD .
En lugar de los métodos tradicionales de interceptación en línea, fácilmente detectables por las herramientas de seguridad, este enfoque provoca excepciones de memoria de forma intencionada para interceptar las llamadas a la API. Cuando OneDrive.exe intenta llamar a funciones específicas como CreateWindowExW, el código malicioso captura el flujo de ejecución mediante controladores de excepciones y lo redirige a funciones controladas por el atacante.
El hook se rearma después de cada intercepción utilizando excepciones de un solo paso, manteniendo un control continuo sobre las funciones API objetivo.
RedazioneEn unos años, Irlanda y Estados Unidos estarán conectados por un cable de comunicaciones submarino diseñado para ayudar a Amazon a mejorar sus servicios AWS . Los cables submarinos son una parte fu...
No se trata “ solo de mayor velocidad ”: ¡el 6G cambia la naturaleza misma de la red! Cuando hablamos de 6G, corremos el riesgo de reducirlo todo a una simple mejora de velocidad, como si la red ...
En septiembre se publicó una nueva vulnerabilidad que afecta a Notepad++. Esta vulnerabilidad, identificada como CVE-2025-56383, puede consultarse en el sitio web del NIST para obtener más informaci...
Google ha emitido un aviso urgente sobre una vulnerabilidad crítica en Android que permite a los atacantes ejecutar código arbitrario en el dispositivo sin interacción del usuario. La vulnerabilida...
El 29 de octubre, Microsoft publicó un fondo de pantalla para conmemorar el undécimo aniversario del programa Windows Insider , y se especula que fue creado utilizando macOS. Recordemos que Windows ...
