Yellow Cockatoo ejecuta troyano RAT
- Publicado: 08/12/2020
- Importancia: Media
- Descripcion
El acceso inicial de Yellow Cockatoo puede darse redirigiendo las consultas del motor de búsqueda de los navegadores web hechas por el usuario a sitios que trataran de descargar un ejecutable malicioso. Este archivo puede tomar la apariencia de un documento Word generando confianza al usuario; respecto al nombre, este se basa en la consulta realizada.
Una vez se realiza la instalación del ejecutable, este mediante línea de comandos genera un archivo de nombre similar al descargado, pero con extensión .tmp; el cual invoca un Powershell que permite la ejecución de un troyano de acceso remoto (RAT) en memoria.
Este es un breve resumen por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas