Fake Captcha Review

estar aquí este hace varios años estuve en otra besides y nos empalmaron unas pláticas muy interesantes que la verdad tengo que reconocer que el grupo estaba pequeñito, platicamos rápido y nos fuimos a ver la otra porque wow. Bueno, pues entonces, ¿qué vamos a ver? Este, una disculpa, la presentación la tuve que pasar a revisión con usted gentes, ya no la dejé, ya no la tradujado,

de tiempo completo todavía, pero ya no tiempo completo. Entonces, ahora sí que cambié de vida, me vine al lado técnico directamente. Estuve en Silabs, hay varios conocidos bastante bien. Eh, todavía participo en algunas posgrados en línea. Si quieren informes, pues podemos aprovechar para promocionarla. Está interesante. Eh, ahorita mi nuevo rol en la empresa es estoy como SOC analist nivel 2 para América. Están bien tranquilo ahorita, afortunadamente es lo que creemos. Eh, y bueno, en mi tiempo libre me gusta todavía hacer análisis de MW y hacer este algunas investigaciones de cyber intelligence y eso, la verdad eso se lo debo a a Silvs. Este me gustaban antes esas cosas, pero después fue wow. Entonces, ¿qué vamos a ver ahorita? Una

revisión rápida de las campañas de fake capture. Si no saben, ahorita vamos a ver qué son. Algunas sugerencias, ideas de cómo protegernos. y eh algunos detalles. Lo personal, lo que más me gusta son los pays. Entonces, va a haber mucho o más información técnica sobre los pays y eso. Pero bueno, ¿cómo surgió esto? Pues hace tiempo estaba preparando eh una presentación para Monterrey sobre eh Cursa principalmente, ¿no?, que es una amenaza a un trullano bancario. Entonces estaba, de hecho est antes de eso estaba preparando mi clase para la maestría para mostrar algo actual, para hacer el análisis y todo. y encontré un una nueva campaña, un nuevo deum de este

había dos casos específic específicamente aquí en México, pero fueron contenidos, etcétera. Pero al estar haciendo como thread hunting sobre mshta, que es algo muy común que utilizan para poner cosas, este, cayó otra vez en cuenta de que estaban activas otra vez algunas amenazas de de fake capchas, como se conocen, o fixs, fix, si mal no recuerdo, eh, y entonces me llamó la atención y y estuve más atento y resulta que al inicio de año estuvimos teniendo más incidentes de este tiempo. Ahorita ya es como que trivial, este, las herramientas los detectan más fácil y todo, ya hasta tienen un evento específico casi casi que dicen el capcha. Eh, pero bueno, entonces dije, bueno, esto está interesante. Entonces empecé a

indagar un poquito más, el trabajo me distrajo un poco, otras cosas. Entonces, eh les voy a platicar hasta dónde llego, hasta dónde he trabajado ahorita, cómo se ve un ataque de este del fake capture. Pues básicamente es que es que visitas una página de algo, a través de ads, a través de email, incluso te sale un link y después de eso ya aparece la paginita normal. Eh, recientemente las más que he visto simulan la de Cloudfare, entonces aparece que está protegida por Cloudfare, eso es real y después te muestra que es un nuevo tipo de capcha. Ya tienes que resolver el capcha, que ahorita vamos a ver eso. Y eso puede desplegar un solo comando, un MSHTA que descargue

un supuesto archivo multimedia de internet y de ahí se ejecuta PowerSell y de ahí se ejecutan muchas otras cosas, ¿no? Y ya después viene el payload final. ¿Qué puede ser? Pues según otros investigadores puede ser Pluma, que es de los más comunes, algún otro infostiler o incluso Ranson por Ah, ahora por qué creo que esto de los fake cachas es importante primero sí se puede rastrear, pero al principio no era tan fácil. o cuando estás viendo las herramientas, lo único que tienes es que un mchta o un powerchell extraño, pero no viene ligado directamente de qué sitio fue. Entonces, tú tienes que ir a hacer la investigación, bueno, y este usuario, qué sitio se estaba visitando,

este si qué DNS, DNS solicitud, etcétera, etcétera, ¿no? Porque esto tiene al usuario como punto intermedio. Entonces el capcha intenta convencer al usuario de que ejecute algunos comandos y pues es como si el usuario propio desencadenara toda la acción, ¿no? Entonces es una forma también como ingeniería social en que el usuario es el que inicia todo. Yo creo que le ah aparte los los usuarios ya estamos acostumbrados a capchas, luego nos cambian los capchas. Y ah, mira, este no lo había visto. pasó hace poco que salen así como unos preguntas de lógica que te preguntan todas las cosas que se pueden echar a perder, ¿no? Y son nueve fotografías de alguien, ah, estos están chidos, también son diferentes. Entonces

este pues parece un capcha. Eh, otra cosa es que no es o muchas veces no es directo, sino que está el fake capcha. Lo que yo he visto es que algunas infraestructuras van cambiando muy rápido, van rotando. Un dominio lo tienen apuntado hacia una dirección una semana y luego lo cambian o simplemente lo desechan, ¿no? Ya está quemado, entonces ya ni siquiera eh apunta ninguna dirección ni nada de eso. Y entonces pues sería relativamente muy fácil cambiar alguna de las etapas y seguir entregando diferentes pays. Ah. [Música] Okay. Como muchos otros eh downloaders lo que hacen es que tienen múltiples etapas. Entonces, primero es el ms mshta y luego trae un power shell y luego ese powell

puede hacer otro PowerSell un Visual Basic Script o incluso puede obtener código que no lo compila, pero genera el código necesario en memoria y después lo carga este con reflexión para que se ejecute, ¿no? Todo desde el Power SH. Entonces son diferentes cosas bastante interesantes y que van que pueden ir cambiando la cadena de ataques. Entonces, pues no es tan fácil si pasan los primeros ataques, tal vez los segundos ya no sean tan fáciles de detectar o de correlacionar tan fácilmente, ¿no? Ah, hay algunos frameworks disponibles ya para hacer estos ataques y en teoría son multiplataforma. Si visitas desde Mac, el código que te generan es para que sea de Mac. Si visitas desde Linux, el

código que te generan es para que este un bash y descargues algo, ¿no? Llegué a ver pantallas de eso, pero en mi búsqueda más reciente no he encontrado tags que sean para Linux. De hecho, lo que sí encontré es que veías el capcha, pero si lo veías desde Linux, te mandaba la típica pantalla que te decía, "Oh, no, este sitio nada más está diseñado para que se haya visitado desde Windows." Vayas a una máquina con Windows y vis. Ah, así que está este en su reporte actual dijo que generalmente mandan lo stealer o algún rap o incluso ran. Ya está la lima. Este, supongo que más adelante van a estar las diapositivas y si no yo las voy a publicar también.

¿Cómo es lo básico del funcionamiento? Copiar el texto, copiar el comando en el portapapeles de tu computadora y entonces ya después nada más lo tienes que pegar. Hay dos formas de hacerlo. La mayoría intentan los dos, si no funciona una por alguna razón, por el navegador o lo que sea, lo ejecutan. una segunda vez. Entonces, aquí, por ejemplo, lo que hacen es que crean una línea que es el comando que se va a ejecutar y después utilizan navigator.clipw para copiarlo en el portapapeles. Y si eso no funciona, crean una caja de texto oculta, escriben ahí el comando, lo seleccionan y utilizan el comando copy también para exigir el portapapeles. Entonces, ya con eso va el usuario. ¿Cómo se ven? Algunas

campañas. Entonces, este es la forma más básica de la primera campaña. Visito eh un sitio, tiene un capcha, lo resuelvo y ese ejecutaba un cmd y mandaba llamar un cool para descargar un Excel y ejecutarlo también. Pero, ¿cómo se ve? Pues perdón, aquí está tapando, pero este es dice seguro que es un humano y luego dice para estar seguros presiona la tecla Windows + R. Eso es para ejecutarlo. Incluso para los que saben o para los que no saben, pues es un comando y ya está. Y después dice, después pega, después presiona control B, pegas lo que está en el portapapeles y ya dale enter. Y son tan inteligentes que al final te aparece algo así como un comentario de,

"Oh, hay algo rocha bla bla bla." Y eso se ve. ¿Cómo se ve el código?

Se ve muy azul y no se ve nada. Este, [Música] si se,

entonces, ¿qué es lo que hace esto? Pues básicamente el texto que se copia, este ni siquiera utiliza Power. Este es un CMD directamente que dice que vayas a este sitio. O sea, pues en realidad hacen algo de una vez que lo pegas y le das enter, te manda a otra página que se supone que ya pasó el capcha, pero aparte utiliza o intenta utilizar cool para descargarme ejecutarle y eh lo instala. Ah, afortunadamente la gente de esto también está hospedado en Cloudfare, está protegido la gente de Cloudfir cuando lo quieres visitar ya te dice que eso es este ah malicioso. Eh, de hecho ahorita ya ni siquiera está disponible. La última vez lo bajé, pero la verdad no sé dónde lo

bajé. Eh, y después te muestra un texto más de la verificación y bla bla bla. Entonces, el usuario se queda así como que, "Ah, pues sí, ya pasó la verificación ¿no? Ahora sí hac esto de todos modos." Pero bueno, lo que hacen es ese código lo hacen dos veces, uno utilizando el método de clip eh navigator clip copy y el otro genera el texto. Eh, y finalmente el ejecutable, no me acuerdo este ejecutable no traigo nada que era, eh, pero es una forma como que muy básica, ¿no? Tú dices, a poco la gente cae. Pues no sé, pero sigue habiendo campañas sobre esto. Este otro se parece, eh, la parte interactiva me gusta más. es exactamente el mismo. Si nos vamos a

ver el código, este código se parece mucho, no sé cuál es propia de cuál, pero lo más divertido de este es que tiene eh comentarios en un idioma extraño, que básicamente son comentarios de desarrollo, No.

Eh, Este está divertido. Ah, estos estos lo que hacen es eh utilizar Power directamente, ni siquiera el MSHTA, porque luego eso se empezó a bloquear, supongo. Y eh directamente lo que se hacía con MSHTA, con Power SH, un nuevo objeto web client, descarga ese sitio y ejecútalo. Entonces también si me pell con X sospechoso. Tampoco traigo el de este. La campaña tres era igual, entonces decidí ponerla. Está interesante, aunque es la misma, bueno, es una campaña muy similar. [Música] Aquí lo que hacen es que inyectan códigos. Bueno, el código viene en el mismo sitio, pero está juzgado. Entonces, se inyecta a través de JavaScript y se genera el caption. Entonces, si estás buscando, ahorita voy

a mostrar cómo puedes buscar esto, este, no es factible que te salga al inicio porque el código está un poco ofuscado. Ah, es que te Vamos a ver el sitio se ve igual. Este, bueno, no, este también cambia. Esta es una evolución también porque este no es el Windows R, este es Windows X. ¿Alguien está relacionado con eso? Yo no sabía qué era, lo tuve que ver. Con Windows X te aparece otro como menú, este y cuando le picas la I se abre un power shell, una terminal de Power Shell. O sea, ni siquiera línea de comando, Power Shell. es pegas los comandos de Power que ya te pusieron el clip y ya lo verificas, ¿no?

Entonces dice, "Ah, para verificar." Ay, no se ve. Esta es la parte que me pareció interesante, pero creo que no chequé esto. Eh, básicamente es un código enorme que está en base de 64 y es un script que lo eh lo desobusca y lo inyecta en un iframe dentro de el HTML original. Entonces, ya está toda esta parte. Eh, esto está interesante también. El power shell que te ponen está bastante sencillo y WR que es también para descargar. Eh, como ya se abrió directamente Power, ya no tienes que crear objetos de Power ni nada, directamente lo pone, se supone que es un archivo multimedia MP4 y que al final se lo pasas a IX otra vez, que es lo que

ejecuta de Power Shell. Entonces ahí ya está un poquito más ingenioso, ¿no? Y otra cosa también es que al principio si ustedes peleían esto, todos los capchas traían el mismo número, todos los que eran de fake capcha. Entonces también era una forma como que de identificarlos o de buscarlos rápido. Aquí ya no, aquí ya generan un número aleatorio para que te digan que se vea diferente lo del tapcha. Y ah también intentan hacer el navigator clipwork o eh el otro, el copy. Eh todas se parecen, aunque algunas tienen algunos otros detallitos. M ah, bueno, se abre el Powershell con control X y una Y. Después, cuando se ejecuta el Power Shiell, que se descarga del MP4,

algo interesante es que utiliza eh una cadena base 64 que la descomprime, la desofusca, pero después la carga directamente desde el Power Shell para ejecutarlo. Entonces, no se genera un archivo de persistente en el en tu computadora, pero se carga un archivo malicioso. Básicamente es un loader y después de se descarga más cosas. Eh, lo cargas, buscas el entry point y luego ya lo ejecutas, ¿no? Esta es una forma de ejecutar código dinámico.

Ah, si puedescar eso. Bueno, ya una vez que sejusca, a final de cuentas sí es un ejecutable que está escrito en punto net o mono y se puede analizar. Creo que ya no traigo el Ah, ya. ¿Qué sigue? Si tomo el power shell y lo checo en virus total, solamente tres decían que era sospechoso, tal vez muy reciente, tal vez se genera dinámicamente, no sé, pero solamente tres decían que era sospechoso. Después si el payload ya desofuscado, que es un binario, lo mando al virus total, pues me dice que 36 también que son sospechosos. Entonces, no es algo tan detectado comúnmente. Entonces, esta campaña está interesante en ese sentido y ya después este payload lo que hace es

que descarga otras cosas eh más ah maliciosas aquí. Hasta aquí lo único que hemos visto son la cadena de descarga. Ya después lo que hacen el steeler, el rato, lo que sea, puede variar. Eh, este me gustó. Este, de hecho, este antier apenas lo agregué. porque me pareció muy interesante, está muy básico. Eh, supongo que está en desarrollo o ya se murió la campaña o algo, pero eh está en un idioma oriental, creo yo. Dice que es eh cloud cloudf waf y te da los pasos otra vez Windows R, pegar y ejecutar. No sé leer ese idioma, pero por los iconitos lo entiendes y dices, "Ah, ahora le está llegando también."

Este lo que hace es abre eh un powers share, está ofuscado la URL y si la desofuscas te manda este a esta dirección, telegram redirect.1.txt. Pero si visitas ese sitio, te dice que no se encuentra porque te manda a los blogs de X. Entonces, no sé si es para trolear o algo o ya se murió la campaña, pero la me llamó la atención la que tiene un idioma diferente, ¿no? Y se supone que también hay campañas que están detectadas o están enfocadas hacia diferentes países. ¿Okay? de los paylocks, que les digo que es la parte que me llamó más la atención, que he recolectado durante algunos meses, los que más me o como los se me

ocurre poderlos clasificar son los que utilizan rutilerías para descargar la siguiente parte, los que son comandos directos PowerSell y el X, los que utilizan funciones o buscadas. Este, nunca he sido demasiado fan de JavaScript, pero ahorita he aprendido bastante. Bueno, más que es JavaScript, es Powersh perdón, este, de cómo hacer eh criptografía casi casi que en la línea de comandos y eh algunos otros comandos pues que simplemente se los pasas o buscados al Powers Shake, que básicamente es 64. Ah, no sé.

Si le hacemos más esto,

vamos a usar Chrome.

Entonces, básicamente aquí lo que me interesa es algunos ni siquiera utilizan Power, son simplemente SMNS y ahí van, ¿no? Este, algunos generan archivos y después ejecutan el archivo, algo interesante. Otros utilizan mhlta como primer parte, eh, diferentes URLs y casi todas tienen que ver MF3, MF4, OGG. Ya, otro que utiliza Power Shadeell para llamar cool, este no es ofuscación como tal, pero si lo ves, pues esas comillas ahí meten ruido, sobre todo si estás utilizando expresiones regulares o algo para detección, pero pues se ve ahí a dónde va. Eh, otros utilizan MH msht ejecutar Visual Basic Script. También básicamente lo que hacen es lo mismo, descargar algo de internet. e y los web request.

Y estos pues básicamente todos son IWX que es ejecútalo, ¿no? Descargan algo de internet y lo mandan a ejecutar. Entonces todos estos son así casi que directos. Lo que puede variar son las los parámetros que le pongo en la Power Shape, que si está eh escondido, que haga el bypass, que no utilice perfiles, para tratar de que el usuario ni siquiera se dé cuenta de esta parte. Ah, hay algunos que utilizan un cierto tipo de ofuscación utilizando variables ahí mismo en la línea de comandos, pero

luego no vale la pena meterse mucho en esto ahorita, pero estos son los que vienen, que están codificados.

Lo que me interesa es esto. Este este pues es una cadena enorme que se lo pasa en una variable y después vamos a ver utilizan una forma de de cifrado de codificación automática. donde primero separan cadenas y luego las ordenan, pero con esa semilla especial. Entonces, con eso lo que hacen es que están generando código. No es una ofustacación que se vea o que haya que haya visto yo muchas veces antes, pero aquí ya van dos o tres que hacen lo mismo utilizando sits diferentes. Este, como decían hace rato, chat GPT dice que eh esto es para que con esa semilla, si no tienes la semilla, no se no puedes ver qué es porque influye en el orden que tiene que ver y

todo. Y luego se ya que se reorganizó toda esa información queda un base 64 que se decodifica y se ejecuta, ¿no? Entonces esa parte está me parece interesante. Son formas ingeniosas de estar trabajando con esto.

Funciones. ¿Esto qué es? Los payloads son más grandes, pero al Powers le pasan una función y esa función va a hacer algo. Esta es una que está

Vamos a ver aquí. Sí. Entonces, esto es una función, es Powers Shap, tienes una cadena de texto enorme. De hecho, yo creo que eso debería ser algo eh que disparar alertas, ¿no? Si tienes una cadena de texto larga por alguna razón debería ser sospechoso. Pero luego resulta que cuando estaba revisando en la herramienta de la empresa, este, hay software que utiliza esto, no sé si para protección de propiedad intelectual, algo. Entonces, las cadenas de esto no son sospechosas por defecto, pero bueno, te voy a decir algo. Esta lo que tien es que tienes la cadena y después mandas llamar al algoritmo descifrado AS directamente con una llave y entonces lo descifras en la misma línea de comandos, ¿no? Entonces el

código aquí viene cifrado. [Música] ¿Qué más? Eso es lo que me pareció interesante de esta.

Ah, esta otra creo que también vale la pena.

Ah, básicamente es una función recursiva donde convierte estos valores en hexadecimal en letras. Mucho código es muy fácil de descifrar, pero bueno, está ahí. Eso debería de ser algo también curioso o que lo estén utilizando, pero no conforme con eso. Esta esta otra no la voy a hacer grande por cuestión de tiempo, pero es la misma pues casi la misma funcionalidad, pero en lugar de convertir el headecimal a una cadena, ahora es binario. O sea, se toman el tiempo para explorar y hacer cosas diferentes. Está interesante. Eh, también la otra parte de los pays vienen codificados, básicamente eh es base 64 que se le pasa directamente al a Power Shell.

[Música]

Y hay unos que están interesantes porque eh pues básicamente lo único que hacen es crear un nuevo cliente, darle una cadrina de texto y decirle que la descargue y luego la ejecutan. Hay otros que descargan algo, lo separan porque no es el código directamente y luego eh ejecutan esa otra en un siguiente etapa para descargar el payload. No sé, descargan desde Jason y archivos y más cosas. [Música] Esta es una función codificada muy extensa, nada más es como ejemplo. Esta está más básica y también es un ejemplo de que le pasas la función, le pasas el código directamente al Powershell, ¿no? Entonces, PowerShell es muy poderoso, pero este también se puede hacer de eso. Ahora, ya

cuando estaba terminando dije, bueno, esto yo lo vi porque estuve buscando aquí este así, pero si alguien más quisiera ver información, ¿cómo puedes saber de las campañas? Y pues la típica en X todavía, ¿no? Este, buscas el hashtag fake capcha y hay dos, tres personas que están muy activas en esto y están poniendo cosas aquí. Ah, yo intenté seguir algunos de ellos, digo, hace dos días, gracias a uno de ellos encontré esa que es este en un idioma asiático, pero no estaba completa. Entonces, no sé cómo la estén cómo la estén monitoreando ellos directamente, pero de que de aquí pueden encontrar información interesante, se puede hacer. Ya hay gente que también comparte los iOS y esas cosas. Entonces,

pues está bien. Eh, y la otra pues es directamente, pregúntale a Gubi. Una forma fácil es eh entitle checking if you are human y vas a encontrar ahí varias y entonces ya le das clic ahí. Lo malo de esta es que todas son la misma campaña. Casi todas son la misma campaña porque utilizan la misma plantilla, no todas están activas. Este, pero bueno, así. Ah, pero otra cosa interesante es que hay algunas que todavía están reportadas en Google, pero si visitas el sitio ya los limpiaron. Entonces, esa parte también está interesante. Ah, hay unas que están media raras ahí los nombres, pero pues al final de cuentas son campañas de fakecha. Ah, la semana pasada dije, "Bueno, ¿y

cómo saber si en México no hay campañas de fe capcha?" y estaba buscando más información de esto y eh en GitHub hay un e proyecto que se llama Clipcrap de este personaje. Dije, "Ah, pues vamos a echarle un vistazo. Este, básicamente visita un sitio, evalúa varias cosas y ya te da un porcentaje, ¿no?", "Bueno, ¿y si yo quiero visitar las los sitios de México, cómo hacerlo?" Pues lo primero era preguntarle a Google y entonces pues hacer un un web scrapping de las URL. Dije, "No, esto va a tomar mucho tiempo, mejor vámonos de la otra manera. Buscamos cosas similares Alex a 1 millón, que ese proyecto ya fue descontinuado, hay varias. descargas el top millón de URLs y

filtrar por lo que todos por todo lo que sea MX y después dárselo a Clickgrap para que lo analice. Ah, de esto fueron, pues ni fueron tantas, 3598 URLs, pero que están en el top 1 millón de Umbrelas Cisco y no me acuerdo el la otra fuente. Y de todas estas 780 fueron sospechosas, son bastantes de todos modos, ¿no? Y pues ahí hubo que hacer algunos malabares, uno de ellos fue hacer eh análisis manual, pero no iba a ser de todas. Y las que son sospechosas son páginas de gobierno que traen información y generalmente traen capcha. Es normal, no traigan eso. Entonces, pues hubo que hacer otras cosas. Este, y no, hasta ahorita no se encontró ninguna

en dominios MX de ningún tipo todavía confirmado. ¿Y qué sigue de los fake capchas? Bueno, pues ya hay gente que los está desarrollando, que los está vendiendo como servicio, incluso las no es porque lo hagan, pero si van a GitHop y buscan Click Thits, van a encontrar plantillas ya listas nada más para usarse. Por eso hay tantas cadenas también. Y bueno, este, ya revisando ya para finalizar y todo esto, dije, bueno, ¿y cuánto más va a ser? Ya había habido campañas de fake capcha el año pasado, pero como que este año se intensificaron más. Pero según un reporte todo empezó en The Hacker News, eh, en ese lugar y hace referencia de DF Report, también

reciente, y lo que hacen es que eh Filefix, que es algo que están viendo, eh va a ser como una evolución de Clickfix. Ahora lo que en lugar de aprovecharse del Windows R se van a aprovechar de que puedes pegar cosas en la ventana del explorador, no del navegador web, sino del explorador de archivos de Windows y hacer cosas. Entonces, bueno, va a estar bastante interesante. Ya hay un book, una prueba de concepto que está funcionando y hay que ver qué viene, ¿no? Este, seguramente van a usar técnicas similares a esto, pero ahora va a ser que el usuario guarde el archivo directamente o algo así. Ah, los detalles van a estar en mi gitrop. La vez pasada en realmente tardé

como un mes en ponerlos. Espero que esta vez sea menos. Eso es la liga. Este, si no, yo creo que también aquí los van a publicar. Y bueno, para casi finalizar, igual que con Ursa y con otro, pues los actores de amenaza siguen manteniéndose ocupados, a veces no demasiado, mientras les funcione cambiando cositas y sigan obteniendo beneficios, lo van a seguir explotando. Entonces, está como de nuestro lado tratar de hacérselos más difícil que lo exploten. las amenazas siguen explotando el factor humano. Si antes era una llamada y dame tu contraseña y soy de soporte técnico y eso, este, ahorita los eh los capchas falsos, los deep fakes para que inviertan, etcétera, etcétera. Entonces el factor humano sigue siendo importante

que pues a final de cuentas eduquen y entrenen a sus usuarios. y a sus usuarios están en una empresa, pero también a sus usuarios si les toca darle soporte técnico a sus tíos, tías, papás, toda esa parte de gente es importante también considerarlos nuestros usuarios y educarlos porque no sabemos cuándo van a estar en problemas. Eh, ah, este anuncio comercial, eh, la los diagramas fueron realizados con esta herramienta. Este cdiagram.com los manda al GitHop. Ahí está. Eh, para Ponterrey fue la parte de que desplegara los los screenshots, así ya se hizo más bonito, entonces ya me gusta usarlo más. Y ahorita pensaba terminarlo, pero la verdad no lo terminé. Ahora, cada evento que pongas aquí se va a convertir o se puede

transformar en un este evento sticks para que lo suban a su MISP o alguna otra plataforma que estén utilizando. Y básicamente la idea es poder tener un track de todos los eventos que hay, pero de una forma eh de manera de texto. Yo soy de la vieja escuela, entonces me gusta más trabajar con texto. Puedes mantener versiones, copiar, subirlo donde sea, etcétera. Entonces tienes texto, básicamente un ja está ahí, está toda la descripción con el software lo compilas ya te genera tu página web. Eh, originalmente no quería que fuera página web, pero después se volvió un feature en lugar de un bot porque ahora puede ser interactivo y este nuevas funcionalidades que vienen ahí y

creo que tengo hambre. Este, vámonos. No, no siento. Preguntas y respuestas. Sí. Si me dices, yo lo digo en dos alta para que

de estas técnicas de ataque, ¿qué tanto has visto que un DR puede detectarlo? Y la segunda es, ¿crees que usando inteligencia puedes decir el comportamiento de los cambios que van a hacer los? Okay. La primera, eh, los EDRs, este, el EDR que usamos en la empresa ya los detecta. De hecho, ya está cuando ya no siempre alerta, pero es alerta fake capcha, campaña de fake capcha, no. No estoy seguro si todos, pero otra vez desde el momento en que se ejecuta un MHTA, un power shell script o fuscado o o que descargue algo de internet, ya debería de ser ahí sospechoso. Eh, entonces yo creo que sí se pueden detectar. Eh, depende del EDR, pero

supongo que sí. Eh, la otra, predecir que van a hacer los actores de amenaza, yo siento que está complicado. No sé si utilizando inteligencia artificial generativa, tal vez si le dices a Chat GPT, compórtate como un actor de amenaza, le das todo su background y le dices, "¿Qué hayas después?" Podría funcionar, pero no sé, esto es un como un juego del gato y el ratón, ¿no? Este, defiendes y ellos atacan y buscan nuevas formas de atacar. Aunque hay grupos específicos que mientras les siga funcionando, ¿para qué evolucionar más? No, entonces mientras hagan su trabajo, ya. Entonces, no te podría decir eso. Lo que sí sé es que definitivamente los LLM les ayudan a buscar cosas. Algunos, tengo que

decirlo, algunos este se malviajan y alucinan con cosas que no da que ver. Me tocó ver así, ayúdame a descifrar esto. Me daba un URL y yo, no, eso no es. Y ya la salo a mano, nada que ver. Pero bueno, este hay otra cosa. Eh, sí. Entonces, esa será mis respuestas. Sí.

Acá pregunta este lado. [Música] Hola. Este, mencionas que pues lo que hacen estos oneliners de Powerwers Shell es descargar un payload y por ejemplo este ejecutarlo desde la línea de comandos directamente o hacer un reflection para cargarlo en memoria. Sin embargo, tuviste oportunidad de revisar este qué es lo que cargaba en memoria este este oneeliner, este script, por ejemplo, pertenecían algún framework de comando de control, hacían alguna actividad en específica. Sí. Eh, desafortunadamente cuando quise trajear todo, muchos ya no estaban disponibles. Este último ya no me dio tiempo de analizarlo completamente, pero eh es un loader, puede ser un infetiler o alguna otra cosa. Es la siguiente etapa, pero ya no, la verdad ya no alcancé a ejecutarlo.

Ah, pero básicamente puede ser cualquier cosa. No me acuerdo si lo puse aquí, pero incluso hay uno que en un Wild Liner descargaba un MSI, un actualización de Chrome y después lo ejecutaba y el actualizador de Chrome era legítimo. Lo que era el legítimo era una TL que traía ahí. Entonces, si analizabas el el Ex de Chrome, pues era legítimo, pero la DL es la que hacía cosas. Eso era, no me acuerdo, también dieron un loader, pero ahorita no me acuerdo exactamente qué apenas era, pero sí, este, como ya hay muchos reportes de que diferentes raps, los infestiles son los principales, por eso ya no aundé más en eso, mequé en los que me llamó la atención.

¿Alguien más? Una pregunta. Todavía tenemos tiempo. ¿Sabes qué? Te voy a reclamar que no me listan los entonces. Ah, quiero tener en lo que los demás preguntas, mira, para que tengas buenas respuestas tu shot.

Okay. Bueno, si no hay más preguntas, muchas gracias. Les dejo mis contactos. Este, la vez me tarda un poquito en responder, pero estamos ahí presentes y ojalá y nos veamos en algún otro lugar. Un aplauso, muchachos. Tenemos que podemos dar el inicio, ¿no? [Aplausos] Este, no me dio un ch me olvidó, pero traía mi sombrero azul para la presentación. Gracias. Pues un aplauso, muchachos. Si tiene preguntas, agradecemos mucho eso. La verdad es que el malware es algo que utilizan incluso ya para hacer ataques dirigidos y el descargar eh artefactos también nos eh constituye también algo difícil de de buscar, ¿no? Cuando también hay algo buenes, ¿no? Files, sí, archivo ya. más complicado porque hay que buscarle

ya memoria r.

Ah mira necesitamos una plática para hacerla.