Detección de Malware SVCReady: Un Nuevo Cargador Distribuido Masivamente a través de Phishing

[post-views]
junio 09, 2022 · 3 min de lectura
Detección de Malware SVCReady: Un Nuevo Cargador Distribuido Masivamente a través de Phishing

¡Conozca SVCReady, un nuevo cargador malicioso en el escenario! La nueva cepa se distribuye ampliamente a través de campañas de phishing desde abril de 2022, aprovechando una rutina de infección inusual. Según expertos, SVCReady depende del shellcode oculto dentro de las propiedades del documento de Microsoft Office, lo que le permite evadir los radares de las soluciones de seguridad. Dado que el malware está actualmente en desarrollo activo, con frecuentes actualizaciones de funcionalidad observadas hasta ahora, es posible que pronto se agreguen trucos y características sofisticadas adicionales para fortalecer sus capacidades.

Detectar Malware SVCReady

Detecte la actividad maliciosa relacionada con el nuevo cargador SVCReady con una regla Sigma dedicada por nuestro experimentado desarrollador de Threat Bounty Kaan Yeniyol. ¿Deseoso de monetizar sus habilidades de detección de amenazas? Únase a nuestro Programa Threat Bounty, publique sus reglas Sigma en la plataforma SOC Prime y reciba recompensas recurrentes mientras contribuye a la defensa cibernética colaborativa.

La regla a continuación detecta la persistencia sospechosa de SVCReady identificando la Tarea Programada asociada.

Persistencia del Malware SVCReady Sospechoso (junio de 2022) mediante la Detección de la Tarea Programada Asociada (a través de seguridad)

La detección es compatible con 18 formatos de SIEM, EDR y XDR y está alineada con el marco MITRE ATT&CK®v.10, abordando la táctica de Ejecución con Tarea/Trabajo Programado (T1053) como la técnica principal.

Para acceder a la colección completa de reglas Sigma para detectar las últimas amenazas cibernéticas, presione el botón Detectar & Cazar a continuación. Para explorar el contexto de amenaza adicional, incluidas ideas para la Caza de Amenazas, orientación para la Ingeniería de Detección y enlaces a la última Inteligencia sobre Amenazas Cibernéticas, haga clic en el botón Explorar Contexto de Amenaza y diríjase inmediatamente al motor de búsqueda de amenazas cibernéticas de SOC Prime.

Detectar & Cazar Explorar Contexto de Amenaza

Análisis de SVCReady

Según la investigación del equipo de investigación de amenazas de HP, SVCReady es una familia de malware previamente no documentada que surgió en abril de 2022. Desde entonces, el nuevo cargador se distribuye masivamente a través de campañas de phishing.

La cadena de infección generalmente comienza con un correo electrónico de phishing que lleva un documento malicioso de Microsoft Word adjunto. Sin embargo, en lugar de la práctica tradicional de utilizar PowerShell o MSHTA a través de macros maliciosos, los responsables de SVCReady dependen de VBA para ejecutar shellcode insertado en las propiedades del archivo .doc. Una vez extraído y ejecutado con macro, el shellcode se carga en la memoria para usar la funcionalidad de la API de Windows «Virtual Protect» y obtener derechos de acceso ejecutable. En la siguiente etapa, la API SetTimer ejecuta el shellcode, lo que resulta en que una carga útil maliciosa se deje caer en la instancia objetivo.

Una vez infectado, el cargador SVCReady puede realizar una larga lista de acciones maliciosas, incluidas descargar archivos al cliente comprometido, tomar capturas de pantalla, ejecutar comandos de shell, establecer persistencia a través de una tarea programada, ejecutar archivos y entregar cargas útiles adicionales al entorno infectado. Los investigadores de HP identificaron varios casos de RedLine stealer siendo dejado caer por SVCReady en abril de 2022.

Se sospecha que el colectivo TA551 (Shatak) opera las campañas de SVCReady ya que los expertos de HP observan un gran solapamiento en las tácticas. Específicamente, la investigación apunta a los señuelos de imágenes, URLs de recursos y otros detalles utilizados por SVCReady y asociados con las rutinas de TA551 observadas en el pasado. Sin embargo, la atribución exacta de las campañas actualmente es poco clara.

Aproveche el poder de la defensa cibernética colaborativa y benefíciese de la plataforma de Detección como Código más avanzada del mundo, incluyendo el acceso a más de 190K algoritmos de detección curados disponibles para más de 25 soluciones de SIEM, EDR y XDR.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Blog, Plataforma SOC Prime — 2 min de lectura
La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Steven Edwards
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Blog, Últimas Amenazas — 5 min de lectura
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Veronika Telychko