Redazione RHC : 25 agosto 2025 15:07
Durante los últimos doce meses, los expertos en seguridad han observado un aumento en el uso de las funciones de programación de Windows, diseñadas para la administración de sistemas, por parte de atacantes para establecer su presencia en sistemas comprometidos. Los comandos maliciosos se integran en los procesos del Programador de Tareas y se activan al inicio, al iniciar sesión o en intervalos predeterminados, lo que permite a los atacantes obtener acceso sigiloso y persistente que, con frecuencia, evade la detección estándar.
A diferencia de los rootkits elaborados o los exploits de día cero, estas técnicas explotan la funcionalidad integrada del sistema, lo que permite a los actores de amenazas persistir sin necesidad de implementar binarios adicionales ni cadenas de herramientas complejas. Las infecciones iniciales suelen ocurrir a través de correos electrónicos de phishing o kits de exploits que distribuyen cargadores ligeros que se vuelven persistentes rápidamente.
Tras completar la ejecución en el endpoint, investigadores de seguridad han detectado que los atacantes utilizan el binario schtasks.exe o cmdlets de PowerShell para programar nuevas tareas o modificar las existentes. Para complicar aún más la detección, estas tareas pueden usar la cuenta SYSTEM. En numerosos casos, los equipos de respuesta a incidentes descubrieron tareas con nombres que imitaban servicios legítimos de Windows, como «TelemetryUpdater» o «HealthCheck», pero que apuntaban a archivos ejecutables almacenados en directorios no convencionales en C:ProgramDataSystem.
Las primeras muestras se dirigieron a instituciones financieras, mientras que las campañas más recientes se han expandido a sectores de infraestructura crítica, lo que pone de relieve la amplia aplicabilidad y los bajos costos operativos del abuso de las tareas programadas. Los analistas de DFIR Spot observaron que el malware se basa en activadores como LogonTrigger y TimeTrigger, configurados para ejecutarse cada cinco minutos o cada vez que un usuario inicia sesión.
Este enfoque permite que los componentes maliciosos se integren en las actividades normales del sistema, lo que retrasa el análisis y la remediación. Las cargas útiles posteriores que se entregan a través de estas tareas van desde binarios de minería de monedas hasta herramientas de administración remota. Una vez registradas, las tareas suelen actualizarse automáticamente invocando scripts de PowerShell que extraen módulos adicionales o modifican los argumentos de la línea de comandos.
Dado que los atacantes pueden eliminar o deshabilitar los registros del Programador de Tareas, muchas organizaciones han tenido dificultades para reconstruir cronogramas sin telemetría EDR enriquecida. Una vez creado, el proceso se ejecuta con privilegios SISTEM, iniciando un cargador de segunda etapa que contacta con un C2 remoto o un repositorio de carga útil.
Al incrustar el ejecutable en rutas no estándar y abusar de las capacidades de programación nativas, los actores de amenazas logran persistencia sin requerir marcos de explotación adicionales. Las estrategias de detección deben incluir la definición rigurosa de tareas programadas legítimas, la monitorización de los registros operativos/de TaskScheduler para el ID de evento 106 (actividad registrada) y la aplicación de políticas de auditoría avanzadas para capturar las entradas del ID de evento 4698.
Combinar estos registros con el análisis de linaje de procesos basado en EDR puede revelar patrones. Anomalías en la creación de actividades que se desvían de las operaciones administrativas normales.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
