Desde falsos sitios de Proton VPN hasta mods de juegos, este ladrón de información de Windows está por todos lados

"graph TB %% Definiciones de Clase classDef action fill:#ffcccc classDef tool fill:#c2c2f0 classDef process fill:#c2f0c2 classDef malware fill:#ffd966 %% Nodos initial_access["<b>Acción</b> – <b>T1204.002 Ejecución de Usuario</b>: La víctima descarga un ZIP malicioso de un sitio falso de VPN o de utilidad de hardware y lo ejecuta."] class initial_access action malicious_zip["<b>Malware</b> – <b>Nombre</b>: Archivo ZIP malicioso<br/><b>Ofuscación</b>: T1027.015 Compresión"] class malicious_zip malware powershell_loader["<b>Proceso</b> – <b>Nombre</b>: Cargador de PowerShell<br/><b>Técnica</b>: T1059.001 Intérprete de Comandos y Scripts"] class powershell_loader process defender_exclusion["<b>Acción</b> – <b>T1564.012 Ocultar Artefactos</b>: Agrega sus carpetas a la lista de exclusión de Windows Defender."] class defender_exclusion action impair_defenses["<b>Acción</b> – <b>T1562 Deteriorar Defensas</b>: Modifica configuraciones de seguridad a través de PowerShell para evadir detección."] class impair_defenses action cmstp_tool["<b>Herramienta</b> – <b>Nombre</b>: cmstp.exe<br/><b>Técnica</b>: T1218.003 Ejecución de Proxy Binario del Sistema"] class cmstp_tool tool uac_bypass["<b>Acción</b> – <b>T1548.002 Eludir UAC</b>: Usa CMSTP con un archivo INF diseñado para obtener derechos elevados."] class uac_bypass action regasm_tool["<b>Herramienta</b> – <b>Nombre</b>: regasm.exe<br/><b>Técnica</b>: T1218.009 Ejecución de Proxy Binario del Sistema"] class regasm_tool tool process_hollowing["<b>Acción</b> – <b>Vaciado de Proceso</b>: Crea proceso Regasm y lo vacía a través de APIs NT."] class process_hollowing action dll_hijack["<b>Acción</b> – <b>T1574.001 Secuestro de DLL</b>: Despliega iviewers.dll malicioso cargado por ejecutables legítimos."] class dll_hijack action persistence["<b>Acción</b> – <b>T1546 Ejecución de Ejecución Activada por Evento</b> & <b>T1547 Autoinicio de Arranque o Inicio de Sesión</b>: Programa tareas para ejecutar la carga útil al iniciar sesión con privilegios elevados."] class persistence action cred_browser["<b>Acción</b> – <b>T1555.003 Credenciales de Navegadores Web</b>: Recoge contraseñas y cookies de múltiples navegadores."] class cred_browser action cred_cookie["<b>Acción</b> – <b>T1539 Robar Cookie de Sesión Web</b>: Extrae cookies de sesión para servicios web."] class cred_cookie action browser_discovery["<b>Acción</b> – <b>T1217 Descubrimiento de Información del Navegador</b>: Enumera perfiles, extensiones y configuraciones del navegador."] class browser_discovery action c2_dead_drop["<b>Acción</b> – <b>T1102.001 Resolver de Servicio Web de Depósito Muerto</b>: Recupera información adicional de C2 de un canal de Telegram señalado como muerto."] class c2_dead_drop action c2_bidirectional["<b>Acción</b> – <b>T1102.002 Comunicación Bidireccional de Servicio Web</b>: Se comunica con C2 a través de HTTP cifrado."] class c2_bidirectional action %% Conexiones initial_access –>|entrega| malicious_zip malicious_zip –>|ejecuta| powershell_loader powershell_loader –>|crea directorios ocultos y agrega exclusiones| defender_exclusion powershell_loader –>|modifica configuraciones de seguridad| impair_defenses powershell_loader –>|invoca| cmstp_tool cmstp_tool –>|habilita| uac_bypass uac_bypass –>|lanza| regasm_tool regasm_tool –>|realiza| process_hollowing process_hollowing –>|deposita| dll_hijack dll_hijack –>|facilita| persistence persistence –>|proporciona un punto de apoyo para| cred_browser cred_browser –>|recoge| cred_cookie cred_browser –>|recoge| browser_discovery cred_cookie –>|utilizado para| c2_dead_drop browser_discovery –>|suministra información a| c2_dead_drop c2_dead_drop –>|se comunica vía| c2_bidirectional "

Flujo de Ataque