La nueva backdoor DinDoor abusa de los instaladores de Deno Runtime y MSI para evadir la detección

Una backdoor recientemente identificada llamada DinDoor utiliza el tiempo de ejecución legítimo de JavaScript Deno y los archivos de instalación MSI para evadir silenciosamente las defensas de seguridad y comprometer los sistemas específicos. El malware, rastreado como una variante de Tsundere Botnet, se basa en entornos de ejecución firmados y confiables en lugar de implementar implantes compilados estándar.

Esto hace que la detección sea mucho más difícil en redes donde herramientas como Deno ya están en la lista permitida o no se monitorean activamente. DinDoor se entrega a las víctimas a través de correos electrónicos de phishing o descargas no autorizadas maliciosas disfrazadas de archivos MSI. Una vez que la víctima abre uno, el instalador descarga el tiempo de ejecución de Deno desde el punto final oficial dl.deno[.]land sin requerir privilegios de administrador. Luego, el malware ejecuta JavaScript ofuscado para tomar huellas dactilares de la máquina de la víctima, llegar a su infraestructura de comando y control (C2) y recuperar cargas útiles adicionales.

Dentro de la cadena de ejecución Comprender cómo se mueve DinDoor a través de un sistema revela cuán deliberadamente está construido para evitar la detección. La publicación La nueva backdoor DinDoor abusa de los instaladores de Deno Runtime y MSI para evadir la detección apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗