Redazione RHC : 26 septiembre 2025 16:02
En un nuevo informe, Zscaler ThreatLabz ha revelado detalles de una nueva familia de malware llamada YiBackdoor , observada por primera vez en junio de 2025.
Desde el principio, el análisis destacó coincidencias significativas del código fuente con los descargadores IcedID y Latrodectus , y es esta conexión la que Zscaler señala como crucial para comprender el posible origen y el papel de la nueva muestra en los ataques.
El malware es una biblioteca DLL modular con un conjunto básico de funciones de control remoto del host y un mecanismo de extensión basado en plugins. Por defecto, su funcionalidad es limitada, pero los atacantes pueden cargar módulos adicionales para ampliar sus capacidades.
El programa se copia a sí mismo en una carpeta recién creada con un nombre aleatorio, gana persistencia a través de la tecla Ejecutar de Windows y lanza regsvr32.exe con una ruta maliciosa.
El nombre de la entrada de registro se genera mediante un algoritmo pseudoaleatorio. El módulo principal se autodestruye, lo que dificulta las medidas de respuesta y el análisis forense. La lógica maliciosa se ejecuta mediante una configuración cifrada integrada , de la que se extrae la dirección del servidor de comando y control, y la comunicación con el C2 se realiza mediante respuestas HTTP que contienen comandos.
Las capacidades de YiBackdoor incluyen la recopilación de metadatos del sistema, la toma de capturas de pantalla y la ejecución de comandos de shell mediante cmd.exe y PowerShell, así como la carga e inicialización de complementos cifrados en Base64. Los comandos clave identificados en el mecanismo de control se enumeran a continuación: Systeminfo, screen, CMD, PWS, plugin y task . La inyección de código implica la inyección de código en el proceso svchost.exe, y las técnicas antianálisis integradas se centran en la detección de máquinas virtuales y entornos aislados, lo que reduce la probabilidad de detección al analizar en un entorno protegido.
Los analistas de Zscaler observan varias similitudes con IcedID y Latrodectus : un método de inyección similar, un formato y longitud idénticos de la clave de descifrado de configuración, y algoritmos similares para descifrar bloques de configuración y complementos. Dadas estas similitudes y la arquitectura observada, los empleados de la empresa evalúan YiBackdoor con un nivel de confianza entre moderado y alto. Sin embargo, las implementaciones actuales son limitadas, lo que indica una fase de desarrollo o prueba y el posible papel de la muestra como precursor de etapas de explotación posteriores , incluyendo la preparación del acceso inicial para el ransomware.
La organización enfatiza la importancia de monitorear las solicitudes HTTP salientes y los cambios en el registro, así como de implementar reglas de detección que se centren en indicadores de comportamiento de inyecciones de svchost.exe y anomalías asociadas con la ejecución de regsvr32.exe desde ubicaciones aleatorias. Estos indicadores permiten la detección temprana de intentos de inyección de YiBackdoor y previenen futuras actividades de los atacantes.
RedazioneEl 20 de septiembre, informamos sobre un ciberataque que paralizó varios aeropuertos europeos, incluidos los de Bruselas, Berlín y Londres-Heathrow. Se trató de un ataque a la cadena de suministro ...
El sistema penitenciario rumano se ha visto envuelto en un grave escándalo digital: reclusos de Târgu Jiu piratearon la plataforma interna de la ANP y, durante varios meses, gestionaron sin ser dete...
Hoy en día, vivimos en un mundo donde el wifi es una necesidad fundamental, pero ¿cómo surgió esta tecnología, que ahora damos por sentada? ¿Cómo se convirtió en la red que usamos a diario? En...
El 10 de octubre de 2025, las autoridades letonas llevaron a cabo una jornada de acción que resultó en la detención de cinco ciudadanos letones sospechosos de dirigir una red de ciberfraude a gran ...
Jen-Hsun Huang, fundador y CEO de Nvidia, reveló que las recientes restricciones a las exportaciones han reducido drásticamente la presencia de los chips de inteligencia artificial de la compañía ...
