Redazione RHC : 26 septiembre 2025 16:02
En un nuevo informe, Zscaler ThreatLabz ha revelado detalles de una nueva familia de malware llamada YiBackdoor , observada por primera vez en junio de 2025.
Desde el principio, el análisis destacó coincidencias significativas del código fuente con los descargadores IcedID y Latrodectus , y es esta conexión la que Zscaler señala como crucial para comprender el posible origen y el papel de la nueva muestra en los ataques.
El malware es una biblioteca DLL modular con un conjunto básico de funciones de control remoto del host y un mecanismo de extensión basado en plugins. Por defecto, su funcionalidad es limitada, pero los atacantes pueden cargar módulos adicionales para ampliar sus capacidades.
El programa se copia a sí mismo en una carpeta recién creada con un nombre aleatorio, gana persistencia a través de la tecla Ejecutar de Windows y lanza regsvr32.exe con una ruta maliciosa.
El nombre de la entrada de registro se genera mediante un algoritmo pseudoaleatorio. El módulo principal se autodestruye, lo que dificulta las medidas de respuesta y el análisis forense. La lógica maliciosa se ejecuta mediante una configuración cifrada integrada , de la que se extrae la dirección del servidor de comando y control, y la comunicación con el C2 se realiza mediante respuestas HTTP que contienen comandos.
Las capacidades de YiBackdoor incluyen la recopilación de metadatos del sistema, la toma de capturas de pantalla y la ejecución de comandos de shell mediante cmd.exe y PowerShell, así como la carga e inicialización de complementos cifrados en Base64. Los comandos clave identificados en el mecanismo de control se enumeran a continuación: Systeminfo, screen, CMD, PWS, plugin y task . La inyección de código implica la inyección de código en el proceso svchost.exe, y las técnicas antianálisis integradas se centran en la detección de máquinas virtuales y entornos aislados, lo que reduce la probabilidad de detección al analizar en un entorno protegido.
Los analistas de Zscaler observan varias similitudes con IcedID y Latrodectus : un método de inyección similar, un formato y longitud idénticos de la clave de descifrado de configuración, y algoritmos similares para descifrar bloques de configuración y complementos. Dadas estas similitudes y la arquitectura observada, los empleados de la empresa evalúan YiBackdoor con un nivel de confianza entre moderado y alto. Sin embargo, las implementaciones actuales son limitadas, lo que indica una fase de desarrollo o prueba y el posible papel de la muestra como precursor de etapas de explotación posteriores , incluyendo la preparación del acceso inicial para el ransomware.
La organización enfatiza la importancia de monitorear las solicitudes HTTP salientes y los cambios en el registro, así como de implementar reglas de detección que se centren en indicadores de comportamiento de inyecciones de svchost.exe y anomalías asociadas con la ejecución de regsvr32.exe desde ubicaciones aleatorias. Estos indicadores permiten la detección temprana de intentos de inyección de YiBackdoor y previenen futuras actividades de los atacantes.
RedazioneEn 2025, los usuarios siguen dependiendo en gran medida de contraseñas básicas para proteger sus cuentas. Un estudio de Comparitech, basado en un análisis de más de 2 mil millones de contraseñas ...
En unos años, Irlanda y Estados Unidos estarán conectados por un cable de comunicaciones submarino diseñado para ayudar a Amazon a mejorar sus servicios AWS . Los cables submarinos son una parte fu...
No se trata “ solo de mayor velocidad ”: ¡el 6G cambia la naturaleza misma de la red! Cuando hablamos de 6G, corremos el riesgo de reducirlo todo a una simple mejora de velocidad, como si la red ...
En septiembre se publicó una nueva vulnerabilidad que afecta a Notepad++. Esta vulnerabilidad, identificada como CVE-2025-56383, puede consultarse en el sitio web del NIST para obtener más informaci...
Google ha emitido un aviso urgente sobre una vulnerabilidad crítica en Android que permite a los atacantes ejecutar código arbitrario en el dispositivo sin interacción del usuario. La vulnerabilida...
