Redazione RHC : 26 septiembre 2025 16:02
En un nuevo informe, Zscaler ThreatLabz ha revelado detalles de una nueva familia de malware llamada YiBackdoor , observada por primera vez en junio de 2025.
Desde el principio, el análisis destacó coincidencias significativas del código fuente con los descargadores IcedID y Latrodectus , y es esta conexión la que Zscaler señala como crucial para comprender el posible origen y el papel de la nueva muestra en los ataques.
El malware es una biblioteca DLL modular con un conjunto básico de funciones de control remoto del host y un mecanismo de extensión basado en plugins. Por defecto, su funcionalidad es limitada, pero los atacantes pueden cargar módulos adicionales para ampliar sus capacidades.
El programa se copia a sí mismo en una carpeta recién creada con un nombre aleatorio, gana persistencia a través de la tecla Ejecutar de Windows y lanza regsvr32.exe con una ruta maliciosa.
El nombre de la entrada de registro se genera mediante un algoritmo pseudoaleatorio. El módulo principal se autodestruye, lo que dificulta las medidas de respuesta y el análisis forense. La lógica maliciosa se ejecuta mediante una configuración cifrada integrada , de la que se extrae la dirección del servidor de comando y control, y la comunicación con el C2 se realiza mediante respuestas HTTP que contienen comandos.
Las capacidades de YiBackdoor incluyen la recopilación de metadatos del sistema, la toma de capturas de pantalla y la ejecución de comandos de shell mediante cmd.exe y PowerShell, así como la carga e inicialización de complementos cifrados en Base64. Los comandos clave identificados en el mecanismo de control se enumeran a continuación: Systeminfo, screen, CMD, PWS, plugin y task . La inyección de código implica la inyección de código en el proceso svchost.exe, y las técnicas antianálisis integradas se centran en la detección de máquinas virtuales y entornos aislados, lo que reduce la probabilidad de detección al analizar en un entorno protegido.
Los analistas de Zscaler observan varias similitudes con IcedID y Latrodectus : un método de inyección similar, un formato y longitud idénticos de la clave de descifrado de configuración, y algoritmos similares para descifrar bloques de configuración y complementos. Dadas estas similitudes y la arquitectura observada, los empleados de la empresa evalúan YiBackdoor con un nivel de confianza entre moderado y alto. Sin embargo, las implementaciones actuales son limitadas, lo que indica una fase de desarrollo o prueba y el posible papel de la muestra como precursor de etapas de explotación posteriores , incluyendo la preparación del acceso inicial para el ransomware.
La organización enfatiza la importancia de monitorear las solicitudes HTTP salientes y los cambios en el registro, así como de implementar reglas de detección que se centren en indicadores de comportamiento de inyecciones de svchost.exe y anomalías asociadas con la ejecución de regsvr32.exe desde ubicaciones aleatorias. Estos indicadores permiten la detección temprana de intentos de inyección de YiBackdoor y previenen futuras actividades de los atacantes.
RedazioneEl Departamento de Justicia de Estados Unidos y la policía británica han acusado a Talha Jubair, de 19 años, residente del este de Londres, quien los investigadores creen que es un miembro clave de...
Una carta abierta firmada por importantes fundaciones de código abierto ha alertado sobre el futuro de la infraestructura que sustenta el desarrollo de software moderno. La Fundación de Seguridad de...
Cisco ha revelado una vulnerabilidad de día cero, identificada como CVE-2025-20352, en su software IOS e IOS XE, ampliamente utilizado. Esta vulnerabilidad parece estar siendo explotada activamente. ...
El 20 de septiembre de 2025, un ciberataque afectó a tres de los principales aeropuertos de Europa: Londres-Heathrow, Bruselas y Berlín. Los sistemas digitales que gestionaban la facturación y la g...
Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única ...
