Área clientes

Detectado nuevo malware Airstalk en ataque de cadena de suministro

Un nuevo malware llamado Airstalk ha sido descubierto por Palo Alto Networks Unit 42, vinculándolo a un grupo de hackers respaldado por un estado-nación (rastreado como CL-STA-1009) en lo que se sospecha es un ataque de cadena de suministro. Airstalk se aprovecha de la API de AirWatch (ahora Workspace ONE Unified Endpoint Management) para establecer un canal de comando y control (C2) encubierto.

El malware, disponible en versiones PowerShell y .NET, utiliza la API para gestionar atributos personalizados de dispositivos y cargas de archivos. La variante .NET posee capacidades más avanzadas que la de PowerShell, sugiriendo una versión más desarrollada del malware. Airstalk puede capturar capturas de pantalla, cookies, historial de navegación y marcadores de los navegadores web.

La variante PowerShell utiliza el endpoint ‘/api/mdm/devices/’ para la comunicación C2, empleando los atributos personalizados de la API para almacenar información necesaria para la interacción con el atacante. Una vez lanzado, el backdoor inicializa contacto enviando un mensaje “CONNECT” y espera un mensaje “CONNECTED” del servidor. Luego, recibe tareas para ejecutar en el host comprometido en forma de un mensaje de tipo “ACTIONS”. El resultado de la ejecución se envía de vuelta al atacante usando un mensaje “RESULT”.

El backdoor soporta siete acciones diferentes, incluyendo tomar una captura de pantalla, obtener cookies de Google Chrome, listar todos los perfiles de usuario de Chrome, obtener los marcadores del navegador de un perfil dado, recolectar el historial del navegador de un perfil dado, enumerar todos los archivos dentro del directorio del usuario, y desinstalarse del host.

La variante .NET de Airstalk se extiende a Microsoft Edge e Island (un navegador enfocado a empresas), e intenta imitar una utilidad de AirWatch Helper (“AirwatchHelper.exe”). Además, soporta tres tipos de mensajes adicionales: MISMATCH, DEBUG y PING. Utiliza tres hilos de ejecución diferentes para gestionar tareas C2, exfiltrar el registro de depuración y balizar al servidor C2. También soporta un conjunto más amplio de comandos. Unit 42 ha encontrado muestras firmadas con un certificado “probablemente robado” emitido por Aoteng Industrial Automation (Langfang) Co., Ltd., con una marca de tiempo de compilación temprana del 28 de junio de 2024.

Aunque se desconoce el método de distribución y los objetivos específicos, el uso de APIs relacionadas con MDM y el enfoque en navegadores empresariales como Island sugieren un ataque de cadena de suministro dirigido al sector de subcontratación de procesos de negocio (BPO). La capacidad del malware para evadir la detección, especialmente en entornos de terceros, lo hace especialmente peligroso para las organizaciones que utilizan servicios de BPO, ya que las cookies de sesión de navegador robadas podrían permitir el acceso a un gran número de sus clientes.

Fuente original: Ver aquí

Comparte esta Noticia:


Noticias Relacionadas

Apache OpenOffice niega haber sufrido un ataque de ransomware Akira

La Apache Software Foundation (ASF) ha negado categóricamente las afirmaciones del grupo de ransomware Akira, quienes aseguran haber comprometido la seguridad de Apache OpenOffice y robado 23 GB de documentos corporativos. El grupo Akira alega poseer información de empleados, datos financieros y archivos internos confidenciales. La ASF, responsable del proyecto

Vulnerabilidad crítica en Post SMTP de WordPress permite secuestro de cuentas de administrador

Una vulnerabilidad crítica ha sido descubierta en el popular plugin Post SMTP de WordPress, utilizado en más de 400,000 sitios web. La vulnerabilidad, identificada como CVE-2025-11833 y con una severidad de 9.8, permite a atacantes no autenticados obtener acceso a emails registrados, incluyendo aquellos con enlaces de restablecimiento de contraseñas.

Google Alerta sobre Nuevas Familias de Malware Impulsadas por IA

El Grupo de Inteligencia de Amenazas de Google (GTIG) ha detectado un aumento en el uso de la inteligencia artificial por parte de actores maliciosos para desarrollar nuevas familias de malware. Esta nueva generación de malware integra modelos de lenguaje grandes (LLM) durante su ejecución, permitiendo una modificación dinámica que

SonicWall confirma ataque por hackers patrocinados por un estado en brecha de seguridad de septiembre

SonicWall ha concluido la investigación sobre la brecha de seguridad ocurrida en septiembre, confirmando que fue perpetrada por hackers patrocinados por un estado. El incidente, que comprometió archivos de configuración de firewall almacenados en la nube, fue investigado por Mandiant, quienes determinaron que no hubo impacto en los productos, firmware,

Nuevo Troyano Android ‘Herodotus’ Burla Sistemas Antifraude Imitando la Escritura Humana

Investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado ‘Herodotus’. Este malware ha sido detectado en campañas activas dirigidas a Italia y Brasil, diseñado para tomar el control de dispositivos (DTO) y evadir la detección biométrica imitando el comportamiento humano. ThreatFabric informó que ‘Herodotus’ fue

CISA Alerta sobre Explotación Activa de Vulnerabilidades Críticas en Dassault DELMIA Apriso y XWiki

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha emitido alertas sobre la explotación activa de múltiples vulnerabilidades de seguridad que afectan a Dassault Systèmes DELMIA Apriso y XWiki. Las vulnerabilidades identificadas son: * CVE-2025-6204 (Puntuación CVSS: 8.0): Vulnerabilidad de inyección de código en Dassault Systèmes DELMIA Apriso

Únete a nuestras Noticias

El panorama de amenazas cambia cada día. ¿Está su empresa al tanto de las últimas vulnerabilidades? Suscríbase a nuestro Boletín de Inteligencia Semanal y reciba en su correo un resumen curado por nuestros ingenieros expertos.

  • Reciba alertas priorizadas sobre las vulnerabilidades que le afectan.

  • Entienda las nuevas tácticas y tendencias del cibercrimen.

  • Gratuito, sin spam y con la confianza de Ingeniería Telemática.

Ingresa tus datos para Registrarte