Redazione RHC : 25 agosto 2025 15:07
Durante los últimos doce meses, los expertos en seguridad han observado un aumento en el uso de las funciones de programación de Windows, diseñadas para la administración de sistemas, por parte de atacantes para establecer su presencia en sistemas comprometidos. Los comandos maliciosos se integran en los procesos del Programador de Tareas y se activan al inicio, al iniciar sesión o en intervalos predeterminados, lo que permite a los atacantes obtener acceso sigiloso y persistente que, con frecuencia, evade la detección estándar.
A diferencia de los rootkits elaborados o los exploits de día cero, estas técnicas explotan la funcionalidad integrada del sistema, lo que permite a los actores de amenazas persistir sin necesidad de implementar binarios adicionales ni cadenas de herramientas complejas. Las infecciones iniciales suelen ocurrir a través de correos electrónicos de phishing o kits de exploits que distribuyen cargadores ligeros que se vuelven persistentes rápidamente.
Tras completar la ejecución en el endpoint, investigadores de seguridad han detectado que los atacantes utilizan el binario schtasks.exe o cmdlets de PowerShell para programar nuevas tareas o modificar las existentes. Para complicar aún más la detección, estas tareas pueden usar la cuenta SYSTEM. En numerosos casos, los equipos de respuesta a incidentes descubrieron tareas con nombres que imitaban servicios legítimos de Windows, como «TelemetryUpdater» o «HealthCheck», pero que apuntaban a archivos ejecutables almacenados en directorios no convencionales en C:ProgramDataSystem.
Las primeras muestras se dirigieron a instituciones financieras, mientras que las campañas más recientes se han expandido a sectores de infraestructura crítica, lo que pone de relieve la amplia aplicabilidad y los bajos costos operativos del abuso de las tareas programadas. Los analistas de DFIR Spot observaron que el malware se basa en activadores como LogonTrigger y TimeTrigger, configurados para ejecutarse cada cinco minutos o cada vez que un usuario inicia sesión.
Este enfoque permite que los componentes maliciosos se integren en las actividades normales del sistema, lo que retrasa el análisis y la remediación. Las cargas útiles posteriores que se entregan a través de estas tareas van desde binarios de minería de monedas hasta herramientas de administración remota. Una vez registradas, las tareas suelen actualizarse automáticamente invocando scripts de PowerShell que extraen módulos adicionales o modifican los argumentos de la línea de comandos.
Dado que los atacantes pueden eliminar o deshabilitar los registros del Programador de Tareas, muchas organizaciones han tenido dificultades para reconstruir cronogramas sin telemetría EDR enriquecida. Una vez creado, el proceso se ejecuta con privilegios SISTEM, iniciando un cargador de segunda etapa que contacta con un C2 remoto o un repositorio de carga útil.
Al incrustar el ejecutable en rutas no estándar y abusar de las capacidades de programación nativas, los actores de amenazas logran persistencia sin requerir marcos de explotación adicionales. Las estrategias de detección deben incluir la definición rigurosa de tareas programadas legítimas, la monitorización de los registros operativos/de TaskScheduler para el ID de evento 106 (actividad registrada) y la aplicación de políticas de auditoría avanzadas para capturar las entradas del ID de evento 4698.
Combinar estos registros con el análisis de linaje de procesos basado en EDR puede revelar patrones. Anomalías en la creación de actividades que se desvían de las operaciones administrativas normales.
Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...