Nueva campaña de propagación del downloader TookPS

• Publicado: 02/04/2025
• Importancia: Media

---

Recursos afectados

Se ha identificado una campaña de distribución del downloader TookPS, propagado a través de páginas de phishing que ofrecen versiones alteradas de programas legítimos. Una vez ejecutado, se comunica con su servidor C2 utilizando técnicas de codificación para ocultar sus instrucciones, descargando scripts que configuran un acceso remoto cifrado a través de SSH. Además, instala el backdoor TeviRat, que modifica TeamViewer para ocultar su presencia y otorgar control remoto, junto con Lapmon, otro backdoor que refuerza la persistencia. Esta campaña evidencia el uso de múltiples capas de evasión y control para comprometer los equipos sin ser detectados.

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos csirt@asobancaria.com.

Etiquetas

• Downloader
• TookPS
• Ultraviewer
• AutoCAD
• SketchUp
• Ableton y Quicken
• TeviRat
• TeamViewer
• Lapmon
• Backdoor
• Phishing
• Comando y Control (C2)
• Base64