Curiosamente, el c\u00f3digo malicioso no contiene la direcci\u00f3n del servidor de mando y control. En su lugar, el programa accede a una publicaci\u00f3n que se emite en una plataforma p\u00fablica, donde lee una serie de caracteres que a primera vista parecen sin sentido. De hecho, se trata de informaci\u00f3n cifrada dise\u00f1ada para activar la siguiente etapa del ataque. A este tipo de t\u00e1ctica se le conoce como resoluci\u00f3n de dead drop.<\/em><\/p>\n Durante la siguiente etapa, los atacantes toman el control de la computadora, ubican un atajo malicioso en la carpeta de ejecuci\u00f3n autom\u00e1tica (para que contin\u00fae ejecut\u00e1ndose en el sistema) y establecen una conexi\u00f3n con el servidor de mando y control real (aunque solo despu\u00e9s de codificar su direcci\u00f3n de lo que parece ser otra cadena sin sentido publicada en un sitio web leg\u00edtimo).<\/p>\n En resumen, el implante Powersing realiza dos tareas: hace capturas de pantalla peri\u00f3dicamente en el equipo de la v\u00edctima y las env\u00eda al servidor de mando y control, y tambi\u00e9n ejecuta scripts<\/em> Powershell adicionales que se descargan del servidor de mando y control. En otras palabras, su objetivo es afianzarse en el dispositivo de la v\u00edctima para poder lanzar herramientas adicionales.<\/p>\n En todas las etapas, este malware<\/em> utiliza varios m\u00e9todos para eludir las tecnolog\u00edas de seguridad, y la elecci\u00f3n del m\u00e9todo depende del objetivo. Adem\u00e1s, si identifica una soluci\u00f3n antivirus en la computadora elegida, el malware<\/em> puede cambiar de t\u00e1ctica o incluso deshabilitarse. Nuestros expertos creen que los cibercriminales estudian el objetivo y ajustan sus scripts<\/em> en cada ataque.<\/p>\n Pero la t\u00e9cnica m\u00e1s curiosa de DeathStalker es el uso de servicios p\u00fablicos como mecanismo de resoluci\u00f3n de dead drop<\/em>. En resumen, estos servicios permiten almacenar informaci\u00f3n cifrada en una direcci\u00f3n fija en forma de publicaciones, comentarios, perfiles de usuario y descripciones de contenido de acceso p\u00fablico. Estas publicaciones pueden ser similares a esta:<\/p>\n En general, es solo un truco: as\u00ed es como los atacantes intentan ocultar el inicio de la comunicaci\u00f3n con el servidor de mando y control, haciendo que los mecanismos de protecci\u00f3n piensen que alguien solo est\u00e1 accediendo a sitios web p\u00fablicos. Nuestros expertos identificaron casos en los que los atacantes hab\u00edan utilizado sitios web de Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube y WordPress y muchos m\u00e1s con ese prop\u00f3sito. Sin embargo, es poco probable que las empresas bloqueen el acceso a todos estos servicios.<\/p>\n Para m\u00e1s informaci\u00f3n sobre una posible relaci\u00f3n entre el grupo DeathStalker y los malware<\/em> Janicab y Evilnum, as\u00ed como una descripci\u00f3n t\u00e9cnica completa de Powersing, incluidos los indicadores de compromiso, visita esta publicaci\u00f3n reciente en Securelist sobre DeathStalker<\/a>.<\/p>\n Con la descripci\u00f3n de los m\u00e9todos y herramientas del grupo, nos podemos hacer una idea de las amenazas a las que incluso una empresa relativamente peque\u00f1a se puede enfrentar en el mundo actual. Por supuesto, el grupo no es un actor de APT, y no utiliza trucos especialmente complicados. Sin embargo, sus herramientas est\u00e1n dise\u00f1adas para evitar muchas soluciones de seguridad. Nuestros expertos recomiendan las siguientes medidas de protecci\u00f3n:<\/p>\nFormas de enga\u00f1ar a los mecanismos de seguridad<\/h2>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2020\/08\/26122914\/DeathStalker-Powersing-message.png\")
<\/p>\nC\u00f3mo proteger a tu empresa de DeathStalker<\/h2>\n
\n