Los expertos en ciberseguridad han detectado una campaña de distribución de malware que recurre a un método nunca antes visto: utilizar los registros de eventos de Windows para ocultar en ellos el malware… un método que ha permitido a los atacantes difundirlo sin llamar la atención, dadas las pocas alarmas que levanta un ataque de esas características.

Concretamente, lo que hace este ataque es recurrir a un primer malware que va inyectando fragmentos de 8 KB de código shell encriptado en los registros de eventos de Windows para el Servicio de Administración de Claves (KMS), fragmentos que posteriormente desencripta, combina y ejecuta. Un mecanismo que ha permitido hasta ahora al creador de esta técnica —de identidad aún desconocida— 'volar bajo el radar' de los antivirus.

Fases y componentes de esta técnica de infección. (Fuente: Kaspersky)

Un robo de datos que no se parece a nada antes visto

Finalmente, fue gracias a un software de Kaspersky, basado no en el habitual reconocimiento de firmas, sino en la detección de comportamiento anómalo del software, lo que permitió identificar por primera vez este malware, que ahora ha sido estudiado por los analistas de la compañía. La investigación reveló que el malware era parte de una campaña "muy dirigida".

Se cree que el sigiloso proceso de infección que ha permitido a este software distribuirse entre sus víctimas se inició en septiembre de 2021, cuando la víctima fue manipulada para descargar un archivo RAR desde …