Redazione RHC : 25 agosto 2025 15:07
Durante los últimos doce meses, los expertos en seguridad han observado un aumento en el uso de las funciones de programación de Windows, diseñadas para la administración de sistemas, por parte de atacantes para establecer su presencia en sistemas comprometidos. Los comandos maliciosos se integran en los procesos del Programador de Tareas y se activan al inicio, al iniciar sesión o en intervalos predeterminados, lo que permite a los atacantes obtener acceso sigiloso y persistente que, con frecuencia, evade la detección estándar.
A diferencia de los rootkits elaborados o los exploits de día cero, estas técnicas explotan la funcionalidad integrada del sistema, lo que permite a los actores de amenazas persistir sin necesidad de implementar binarios adicionales ni cadenas de herramientas complejas. Las infecciones iniciales suelen ocurrir a través de correos electrónicos de phishing o kits de exploits que distribuyen cargadores ligeros que se vuelven persistentes rápidamente.
Tras completar la ejecución en el endpoint, investigadores de seguridad han detectado que los atacantes utilizan el binario schtasks.exe o cmdlets de PowerShell para programar nuevas tareas o modificar las existentes. Para complicar aún más la detección, estas tareas pueden usar la cuenta SYSTEM. En numerosos casos, los equipos de respuesta a incidentes descubrieron tareas con nombres que imitaban servicios legítimos de Windows, como «TelemetryUpdater» o «HealthCheck», pero que apuntaban a archivos ejecutables almacenados en directorios no convencionales en C:ProgramDataSystem.
Las primeras muestras se dirigieron a instituciones financieras, mientras que las campañas más recientes se han expandido a sectores de infraestructura crítica, lo que pone de relieve la amplia aplicabilidad y los bajos costos operativos del abuso de las tareas programadas. Los analistas de DFIR Spot observaron que el malware se basa en activadores como LogonTrigger y TimeTrigger, configurados para ejecutarse cada cinco minutos o cada vez que un usuario inicia sesión.
Este enfoque permite que los componentes maliciosos se integren en las actividades normales del sistema, lo que retrasa el análisis y la remediación. Las cargas útiles posteriores que se entregan a través de estas tareas van desde binarios de minería de monedas hasta herramientas de administración remota. Una vez registradas, las tareas suelen actualizarse automáticamente invocando scripts de PowerShell que extraen módulos adicionales o modifican los argumentos de la línea de comandos.
Dado que los atacantes pueden eliminar o deshabilitar los registros del Programador de Tareas, muchas organizaciones han tenido dificultades para reconstruir cronogramas sin telemetría EDR enriquecida. Una vez creado, el proceso se ejecuta con privilegios SISTEM, iniciando un cargador de segunda etapa que contacta con un C2 remoto o un repositorio de carga útil.
Al incrustar el ejecutable en rutas no estándar y abusar de las capacidades de programación nativas, los actores de amenazas logran persistencia sin requerir marcos de explotación adicionales. Las estrategias de detección deben incluir la definición rigurosa de tareas programadas legítimas, la monitorización de los registros operativos/de TaskScheduler para el ID de evento 106 (actividad registrada) y la aplicación de políticas de auditoría avanzadas para capturar las entradas del ID de evento 4698.
Combinar estos registros con el análisis de linaje de procesos basado en EDR puede revelar patrones. Anomalías en la creación de actividades que se desvían de las operaciones administrativas normales.
RedazioneEl 27 de octubre se celebró en el Ministerio de Asuntos Exteriores en Beijing el Foro del Salón Azul sobre el tema «Mejorar la gobernanza global y construir una comunidad con un futuro compartido p...
Hackers del gobierno vulneraron una planta de fabricación de componentes para armas nucleares en Estados Unidos explotando vulnerabilidades de Microsoft SharePoint. El incidente afectó al Campus de ...
En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
