{"id":2379,"date":"2023-05-14T20:36:22","date_gmt":"2023-05-14T23:36:22","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=2379"},"modified":"2025-11-12T16:26:10","modified_gmt":"2025-11-12T19:26:10","slug":"xworm-y-agenttesla-001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/xworm-y-agenttesla-001\/","title":{"rendered":"XWORM y AGENTTESLA: juguetes 2023 de los ciberdelincuentes"},"content":{"rendered":"<div class=\"jsx-773100071 markdown-section\">\n<div class=\"react-markdown\">\n<h2>XWORM y AGENTTESLA son algunos de los tipos de malware cargados por los ciberdelincuentes que utilizan documentos de Word modificados para ejecutar scripts maliciosos de PowerShell.<\/h2>\n<h2><\/h2>\n<p>Adem\u00e1s, los atacantes emplean un cargador .NET personalizado ofuscado para facilitar la carga de estos tipos de malware en los sistemas de las v\u00edctimas.<\/p>\n<p>La utilizaci\u00f3n de un cargador .NET personalizado y ofuscado es una estrategia com\u00fanmente empleada para evitar la detecci\u00f3n de los programas maliciosos por parte de los sistemas de seguridad.<\/p>\n<p>La ofuscaci\u00f3n es una t\u00e9cnica que se utiliza para hacer que el c\u00f3digo fuente del programa sea dif\u00edcil de entender y modificar, lo que hace m\u00e1s complicado para los sistemas de seguridad detectar y analizar el malware.<\/p>\n<p>Por otro lado, el uso de un cargador personalizado permite a los atacantes cargar y ejecutar el malware de forma m\u00e1s efectiva, ya que pueden adaptar el cargador a las especificidades del sistema objetivo.<\/p>\n<p>Es importante tener en cuenta que estos m\u00e9todos son utilizados por los ciberdelincuentes para realizar actividades ilegales y da\u00f1inas en los sistemas inform\u00e1ticos de las v\u00edctimas.<\/p>\n<p>Por lo tanto, es fundamental mantener los sistemas de seguridad actualizados y tomar medidas preventivas para evitar la infecci\u00f3n por malware.<\/p>\n<p>Es esencial comprender el peligro que representan los diferentes tipos de malware, incluyendo los que permiten a los atacantes acceder y controlar remotamente los sistemas de las v\u00edctimas.<\/p>\n<p>Este tipo de malware se conoce como &#8220;malware de control remoto&#8221; y se utiliza com\u00fanmente en ataques cibern\u00e9ticos malintencionados.<\/p>\n<figure id=\"attachment_2383\" aria-describedby=\"caption-attachment-2383\" style=\"width: 400px\" class=\"wp-caption alignleft\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/05\/XWORM-y-AGENTTESLA-e1684107353408.webp\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-2383\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/05\/XWORM-y-AGENTTESLA-e1684107353408.webp\" alt=\"XWORM y AGENTTESLA\" width=\"400\" height=\"400\" title=\"\" srcset=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/05\/XWORM-y-AGENTTESLA-e1684107353408.webp 400w, https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/05\/XWORM-y-AGENTTESLA-e1684107353408-300x300.webp 300w, https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/05\/XWORM-y-AGENTTESLA-e1684107353408-150x150.webp 150w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><\/a><figcaption id=\"caption-attachment-2383\" class=\"wp-caption-text\">XWORM y AGENTTESLA<\/figcaption><\/figure>\n<p>Los atacantes pueden utilizar malware de control remoto para obtener acceso a sistemas de computadora sin el conocimiento o la autorizaci\u00f3n del usuario.<\/p>\n<p>Una vez que el malware se ha instalado en el sistema de la v\u00edctima, los atacantes pueden controlar el sistema, acceder a archivos y datos confidenciales, instalar otros tipos de malware y realizar otras actividades maliciosas.<\/p>\n<p>Por lo tanto, es crucial que los usuarios tomen medidas para proteger sus sistemas de computadora contra el malware.<\/p>\n<p>Esto puede incluir la instalaci\u00f3n de software antivirus y antispyware actualizado, mantener el software del sistema y de la aplicaci\u00f3n actualizado con parches y actualizaciones de seguridad, ser cautelosos al hacer clic en enlaces o descargar archivos de origen desconocido y realizar copias de seguridad regulares de datos importantes.<\/p>\n<p>La gravedad del asunto radica en que esta campa\u00f1a est\u00e1 espec\u00edficamente dise\u00f1ada para enga\u00f1ar a usuarios incautos mediante el uso de documentos falsos que parecen ser leg\u00edtimos.<\/p>\n<p>Es importante tomar medidas preventivas para protegerse de los ataques de malware. Algunas de las medidas que se pueden tomar incluyen:<\/p>\n<ol>\n<li>Mantener el software actualizado: Es importante mantener el software, incluyendo el sistema operativo, los navegadores web y otras aplicaciones, actualizado con las \u00faltimas versiones y parches de seguridad.<\/li>\n<li>Utilizar software antivirus y firewall: Instalar software antivirus y firewall puede ayudar a proteger el sistema de posibles ataques de malware.<\/li>\n<li>Ser cauteloso con los correos electr\u00f3nicos sospechosos: Los correos electr\u00f3nicos sospechosos, especialmente aquellos que contienen archivos adjuntos o enlaces desconocidos, deben ser eliminados sin abrirlos o verificarlos de antemano.<\/li>\n<li>Evitar descargar software de fuentes desconocidas: Es importante descargar software solo de fuentes confiables y conocidas.<\/li>\n<li>Realizar copias de seguridad de los datos importantes: Realizar copias de seguridad regulares de los datos importantes y almacenarlos en un lugar seguro puede ayudar a minimizar el impacto de un ataque de malware.<\/li>\n<li>Educar a los usuarios: Los usuarios deben ser educados sobre las amenazas de malware y c\u00f3mo prevenirlas, as\u00ed como sobre las mejores pr\u00e1cticas de seguridad en l\u00ednea.<\/li>\n<\/ol>\n<p>Al tomar estas medidas, los usuarios pueden ayudar a protegerse de los ataques de malware y minimizar el riesgo de perder datos importantes o tener su privacidad comprometida.<\/p>\n<p>Se recomienda encarecidamente tener precauci\u00f3n al abrir correos electr\u00f3nicos sospechosos o no solicitados, as\u00ed como tambi\u00e9n desconfiar de los documentos que solicitan habilitar macros. Se recomienda encarecidamente utilizar software antivirus y antimalware actualizados para detectar y eliminar cualquier software malicioso.<\/p>\n<p>Adem\u00e1s, es esencial mantener el software actualizado con los parches y las actualizaciones de seguridad m\u00e1s recientes para reducir los riesgos asociados con los ataques cibern\u00e9ticos.<\/p>\n<p>La educaci\u00f3n del usuario es un factor clave para prevenir este tipo de ataques, es importante que los usuarios est\u00e9n informados sobre los riesgos asociados con la navegaci\u00f3n en Internet, c\u00f3mo detectar las t\u00e9cnicas de ingenier\u00eda social utilizadas por los ciberdelincuentes y c\u00f3mo tomar medidas para protegerse contra ellas.<\/p>\n<p>Es importante tomar en cuenta que la detecci\u00f3n temprana y la respuesta r\u00e1pida son fundamentales para minimizar los efectos de esta campa\u00f1a de malware.<\/p>\n<p>Si sospecha que su sistema puede estar comprometido, es fundamental que contacte a un profesional en seguridad inform\u00e1tica de inmediato para que pueda tomar medidas necesarias para proteger sus sistemas y datos sensibles.<\/p>\n<h2>Conclusiones clave<\/h2>\n<ul>\n<li>Los actores de amenazas est\u00e1n implementando malware conocido utilizando sus propios cargadores .NET personalizados.<\/li>\n<li>Los actores de amenazas emplean t\u00e1cticas simples y bien conocidas, como eludir AMSI a trav\u00e9s de parches y un cargador .NET personalizado b\u00e1sico.<\/li>\n<li>Los actores de amenazas est\u00e1n abusando de los servicios leg\u00edtimos de alojamiento de archivos gratuitos.<\/li>\n<\/ul>\n<h2>An\u00e1lisis de c\u00f3digo del cargador RTF<\/h2>\n<h3>Descripci\u00f3n general<\/h3>\n<p>La seguridad en l\u00ednea es un tema que cada vez toma mayor relevancia en el mundo digital. Una investigaci\u00f3n reciente ha descubierto un documento de Word malicioso llamado &#8220;Card &amp; Booking Details.docx&#8221; que ha sido dise\u00f1ado con la intenci\u00f3n de enga\u00f1ar a la v\u00edctima. Este archivo contiene dos documentos escaneados falsificados, una tarjeta de cr\u00e9dito y un pasaporte, con una apariencia muy realista que busca enga\u00f1ar a los usuarios desprevenidos.<\/p>\n<p>Este tipo de archivos maliciosos son muy peligrosos y pueden causar graves da\u00f1os a los sistemas de los usuarios. Por ello, es importante estar alerta y tomar medidas preventivas para evitar su descarga o apertura. Es necesario verificar siempre la fuente y la autenticidad de cualquier archivo antes de descargarlo o abrirlo.<\/p>\n<p>En caso de haber descargado o abierto el archivo &#8220;<strong>Card &amp; Booking Details.docx<\/strong>&#8220;, es importante desconectar de inmediato el equipo de Internet y escanear el sistema con un software antivirus confiable.<\/p>\n<p>Tambi\u00e9n se recomienda informar a los colegas, amigos y familiares sobre este archivo malicioso para prevenir futuros riesgos.<\/p>\n<p>Para prevenir amenazas de malware, es esencial tener un software antivirus actualizado y confiable. La utilizaci\u00f3n de contrase\u00f1as seguras y el cambio frecuente de las mismas tambi\u00e9n es recomendable. Es importante tomar medidas preventivas y estar atentos a las amenazas en l\u00ednea para evitar ser v\u00edctimas de ataques cibern\u00e9ticos.<\/p>\n<p>En conclusi\u00f3n, la seguridad en l\u00ednea es una responsabilidad compartida entre los usuarios y las empresas. Es necesario tomar medidas preventivas y estar alerta ante posibles amenazas en l\u00ednea para evitar poner en riesgo nuestra informaci\u00f3n personal y la de nuestra empresa.<\/p>\n<p>Al abrir el documento, se obtiene un objeto RTF alojado en www.mediafire[.]com\/file\/79jzbqigitjp2v2\/p2.rtf.<\/p>\n<p>Este objeto RTF contiene un objeto de Excel habilitado para macros.\u00a0Cuando se abre, esta macro descarga un script ofuscado de PowerShell que, a su vez, implementa diferentes familias de malware.<\/p>\n<p>Recientemente hemos observado que se han implementado dos familias distintas de malware, XWORM y AGENTTESLA, a trav\u00e9s de una cadena de ejecuci\u00f3n espec\u00edfica.<\/p>\n<p>XWORM es un tipo de malware que se propaga a trav\u00e9s de la explotaci\u00f3n de vulnerabilidades en los sistemas de red. Una vez que el malware ha infectado un sistema, puede permitir que los atacantes accedan a informaci\u00f3n confidencial del usuario, como contrase\u00f1as y datos financieros.<\/p>\n<p>Por otro lado, AGENTTESLA es un tipo de malware que se utiliza para el robo de informaci\u00f3n.<\/p>\n<p>Este malware puede registrar las pulsaciones de teclas y recopilar informaci\u00f3n confidencial del usuario, incluyendo contrase\u00f1as, credenciales de inicio de sesi\u00f3n y otra informaci\u00f3n sensible.<\/p>\n<p>La implementaci\u00f3n de estas dos familias de malware a trav\u00e9s de una cadena de ejecuci\u00f3n espec\u00edfica es particularmente preocupante, ya que esto sugiere que los ciberdelincuentes est\u00e1n empleando t\u00e1cticas m\u00e1s sofisticadas y avanzadas para llevar a cabo ataques en l\u00ednea.<\/p>\n<p>Es esencial que los usuarios tomen medidas preventivas para proteger sus sistemas, incluyendo el uso de software antivirus actualizado, contrase\u00f1as seguras y la verificaci\u00f3n cuidadosa de la fuente y la autenticidad de cualquier archivo descargado o correo electr\u00f3nico recibido.<\/p>\n<p>En conclusi\u00f3n, la evoluci\u00f3n constante de las amenazas en l\u00ednea hace que la seguridad en l\u00ednea sea un tema cr\u00edtico que debe ser tomado en serio por los usuarios y las empresas.<\/p>\n<p>La implementaci\u00f3n de dos familias distintas de malware, XWORM y AGENTTESLA, a trav\u00e9s de una cadena de ejecuci\u00f3n espec\u00edfica, es un ejemplo preocupante de la sofisticaci\u00f3n y complejidad de los ataques en l\u00ednea.<\/p>\n<p>Es esencial que los usuarios se mantengan informados y tomen medidas preventivas para proteger sus sistemas y su informaci\u00f3n confidencial.<\/p>\n<p>Las dos familias de malware mencionadas anteriormente se cargan en la memoria del sistema comprometido mediante el mismo cargador .NET personalizado.<\/p>\n<p>Una vez cargada, la carga \u00fatil maliciosa puede llevar a cabo una variedad de funciones, como robar datos confidenciales y ejecutar comandos en el sistema comprometido.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/bltf8a829310763a97f\/642f0c7b4ff9d1120865229d\/image8.png\" alt=\"Diagrama de flujo de ejecuci\u00f3n\" width=\"401\" height=\"196\" title=\"\"><\/p>\n<p>En esta publicaci\u00f3n de investigaci\u00f3n, analizaremos la ejecuci\u00f3n inicial del malware y detallaremos las capacidades que descubrimos.<\/p>\n<h3>La amenaza del VBA malicioso: c\u00f3mo un documento Word infectado puede propagar el peligroso malware XWORM y AGENTTESLA<\/h3>\n<p>El documento RTF contiene varios objetos incrustados, incluido uno interesante que llam\u00f3 nuestra atenci\u00f3n:\u00a0<strong>Excel.SheetMacroEnabled<\/strong>\u00a0.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/blt16375693cffa8c20\/642f0c7a0c498f10e8dbd3b7\/image1.png\" alt=\"Listado de objetos incrustados en el documento RTF\" width=\"534\" height=\"30\" title=\"\"><\/p>\n<p>Podemos usar\u00a0<a href=\"https:\/\/github.com\/DidierStevens\/DidierStevensSuite\/blob\/master\/rtfdump.py\" target=\"_blank\" rel=\"noopener\"><strong>rtfdumpy.py<\/strong><\/a>\u00a0, un script desarrollado por Didier Stevens para analizar archivos RTF, para volcar el objeto y\u00a0<strong>olevba.py<\/strong>\u00a0, un script desarrollado por Philippe Lagadec, para extraer cualquier script VBA incrustado de un\u00a0objeto\u00a0<a href=\"https:\/\/en.wikipedia.org\/wiki\/Object_Linking_and_Embedding\" target=\"_blank\" rel=\"noopener\">OLE .\u00a0<\/a><\/p>\n<p>El script de VBA extra\u00eddo que se muestra a continuaci\u00f3n descarga y ejecuta un script de powershell malicioso desde https:\/\/www.mediafire[.]com\/file\/xnqxmqlcj51501d\/7000m.txt\/file.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/blt65ab5a0a7928fee1\/642f0c7b214c3211e18ded95\/image2.png\" alt=\"Extraer el script VBA del objeto de hoja de Excel\" width=\"537\" height=\"325\" title=\"\"><\/p>\n<h3>Secuencias de comandos de Powershell bajo la lupa: un an\u00e1lisis detallado de la amenaza en l\u00ednea que representa este lenguaje de programaci\u00f3n<\/h3>\n<p>El script malicioso de PowerShell se ofusca mediante la sustituci\u00f3n de cadenas para evadir la detecci\u00f3n y dificultar el an\u00e1lisis.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/blt8010e57223a86198\/642f0c8437ecbf10cadce832\/image13.png\" alt=\"Script de Powershell ofuscado mediante sustituci\u00f3n de cadenas\" width=\"534\" height=\"197\" title=\"\"><\/p>\n<p>Contiene bloques de secuencias de comandos powershell adicionales en formato hexadecimal que se implementar\u00e1n en la m\u00e1quina infectada dise\u00f1ada para preparar el entorno mediante la configuraci\u00f3n de persistencia, eludiendo AMSI, deshabilitando Windows Defender y creando un mecanismo para actualizar el malware.<\/p>\n<p>El objetivo final es instalar dos binarios .NET, a saber, un cargador y una carga \u00fatil (XWORM \/ AGENTTESLA).<\/p>\n<h3>Eliminando la amenaza: c\u00f3mo deshacerse de un documento malicioso y proteger su sistema de futuros ataques<\/h3>\n<p>El malware comienza eliminando el documento de Word original, primero matando el proceso\u00a0<strong>Winword.exe<\/strong>\u00a0y luego eliminando todos los archivos .DOCX ubicados en las carpetas predeterminadas\u00a0<strong>de Descargas<\/strong>\u00a0y\u00a0<strong>Escritorio<\/strong>\u00a0de cada usuario.\u00a0Este paso inicial muestra la naturaleza destructiva del malware y c\u00f3mo puede da\u00f1ar potencialmente los datos del usuario.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/blt76cd923dc7b46664\/642f0c7bc6373410f683ffed\/image5.png\" alt=\"Comando Powershell para eliminar el documento de Word malicioso\" width=\"535\" height=\"125\" title=\"\"><\/p>\n<h3>Persistencia: la amenaza silenciosa que acecha en la sombra de los sistemas inform\u00e1ticos<\/h3>\n<p>El malware crea un directorio en la ruta\u00a0<strong>C:\\ProgramData\\MinMinons<\/strong>\u00a0, que se usa para almacenar otros scripts y archivos binarios de Powershell.\u00a0El script de Powershell que se est\u00e1 ejecutando actualmente se copia en\u00a0<strong>C:\\ProgramData\\MinMinons\\Candlegraphy.___<\/strong>\u00a0.<\/p>\n<p>A continuaci\u00f3n, el malware desofusca el primer script de Powershell incrustado que se utiliza para crear persistencia.\u00a0Primero escribe un archivo JScript que invoca el script Powershell original guardado en\u00a0<strong>C:\\ProgramData\\MinMinons\\Candlegraphy.___<\/strong>\u00a0a trav\u00e9s del shell activeXObject, luego se crea una tarea programada llamada &#8220;MOperaChrome&#8221; para ejecutar el archivo JScript usando el\u00a0<a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/administration\/windows-commands\/wscript\" target=\"_blank\" rel=\"noopener\">script de Windows firmado por Microsoft\u00a0Utilidad de host (WSH)<\/a>\u00a0,\u00a0<strong>wscript.exe<\/strong>\u00a0.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/blt3b2454fbf4cbeb06\/642f0c83ab116a10dd6a3cc7\/image10.png\" alt=\"Persistencia a trav\u00e9s de la programaci\u00f3n de tareas\" width=\"538\" height=\"48\" title=\"\"><\/p>\n<h3>Omisi\u00f3n de AARMI: c\u00f3mo pueden las quedar empresas vulnerables a ataques en l\u00ednea<\/h3>\n<p>El segundo script de powershell incorporado es responsable de eludir AMSI parcheando el indicador\u00a0<strong>amsiInitFailed<\/strong>\u00a0.<\/p>\n<p>Al hacerlo, falla la inicializaci\u00f3n de AMSI, lo que impide que se inicie cualquier exploraci\u00f3n para el proceso en curso.\u00a0Adem\u00e1s, el script de PowerShell procede a deshabilitar el servicio Microsoft Windows Defender.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/blt76cd923dc7b46664\/642f0c7bc6373410f683ffed\/image5.png\" alt=\"Deshabilitar el servicio WinDefend\" width=\"539\" height=\"126\" title=\"\"><\/p>\n<h3>Creaci\u00f3n de usuarios: una pr\u00e1ctica de seguridad inform\u00e1tica clave para proteger su red y evitar la explotaci\u00f3n de vulnerabilidades<\/h3>\n<p>El script crea una cuenta de administrador local llamada &#8220;System32&#8221; y la agrega al grupo de usuarios de escritorio remoto.\u00a0Esto permite que el atacante inicie sesi\u00f3n a trav\u00e9s del Protocolo de escritorio remoto (RDP).<\/p>\n<p>A continuaci\u00f3n, la secuencia de comandos deshabilita el firewall de la m\u00e1quina para permitir los intentos de conexi\u00f3n RDP entrantes que no est\u00e1n filtrados por los controles perimetrales.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/blt72cd86a3d00f70d7\/642f0c7be8c65f11395e8a8d\/image9.png\" alt=\"Crear un usuario de puerta trasera\" width=\"536\" height=\"129\" title=\"\"><\/p>\n<h3>Persistencia de actualizaci\u00f3n de malware: c\u00f3mo los ciberdelincuentes utilizan t\u00e9cnicas avanzadas para mantener su malware en sistemas inform\u00e1ticos comprometidos<\/h3>\n<p>El tercer script incrustado almacena un archivo JScript secundario, cuyo prop\u00f3sito es descargar una versi\u00f3n revisada o actualizada del malware.<\/p>\n<blockquote><p>Este archivo se guarda en una ubicaci\u00f3n predeterminada en\u00a0<strong>C:\\ProgramData\\MinMinons\\miguan.js<\/strong>\u00a0.<\/p><\/blockquote>\n<p>Adem\u00e1s, se crea una tarea programada con el nombre (\u201cmiguaned\u201d) para ejecutar el archivo JScript a trav\u00e9s de\u00a0<strong>wscript.exe<\/strong>\u00a0, similar a la tarea descrita anteriormente.<\/p>\n<p>El JScript crea una instancia del objeto\u00a0<strong>WScript.Shell<\/strong>\u00a0llamando a ActiveXObject con el siguiente CLSID\u00a0<strong>{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}<\/strong>\u00a0que corresponde al objeto Shell, luego se descarga desde la URL https:\/\/billielishhui.blogspot[.]com \/atom.xml la actualizaci\u00f3n del malware powershell.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/blt3204add20b195876\/642f0c7bcfb44c109a1d7d7c\/image4.png\" alt=\"Secuencia de comandos JScript utilizada para actualizar el malware\" width=\"539\" height=\"64\" title=\"\"><\/p>\n<h3>cargador .NET<\/h3>\n<p>El cargador DOTNET personalizado emplea la\u00a0<a href=\"https:\/\/learn.microsoft.com\/en-us\/dotnet\/standard\/native-interop\/pinvoke\" target=\"_blank\" rel=\"noopener\">t\u00e9cnica P\/INVOKE<\/a>\u00a0para llamar a la API nativa de Windows e inyectar una carga \u00fatil en un binario de Microsoft firmado a trav\u00e9s de\u00a0<a href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\" rel=\"noopener\">huecos de proceso<\/a>\u00a0.<\/p>\n<p>El c\u00f3digo del cargador emplea varias t\u00e9cnicas de ofuscaci\u00f3n para dificultar el an\u00e1lisis, incluido el uso de instrucciones muertas, s\u00edmbolos renombrados para hacer que el c\u00f3digo sea menos legible y m\u00e1s confuso y cadenas codificadas.<\/p>\n<p>Afortunadamente, se puede usar una herramienta como\u00a0<a href=\"https:\/\/github.com\/de4dot\/de4dot\" target=\"_blank\" rel=\"noopener\">de4dot<\/a>\u00a0para generar una versi\u00f3n legible por humanos.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/bltac3faa56a51054f6\/642f0c838f121010dc4c9c10\/image12.png\" alt=\"Ofuscaci\u00f3n del c\u00f3digo del cargador .NET\" width=\"535\" height=\"436\" title=\"\"><\/p>\n<p>El malware aprovecha las API\u00a0<strong>LoadLibrary<\/strong>\u00a0y\u00a0<strong>GetProcAddress<\/strong>\u00a0para acceder a las API de Windows requeridas.<\/p>\n<p>Para ocultar los nombres de estas API, el cargador las almacena en un formato codificado dentro del archivo binario, utilizando una secuencia de m\u00e9todos de sustituci\u00f3n e inversi\u00f3n de cadenas.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/blt25196b5070c553e2\/642f0c7b0c498f10e8dbd3bb\/image3.png\" alt=\"Ofuscaci\u00f3n de cadenas del cargador .NET\" width=\"537\" height=\"245\" title=\"\"><\/p>\n<p>Luego, el cargador inicia un proceso en estado suspendido mediante la API\u00a0<strong>CreateProcessA<\/strong>\u00a0.\u00a0La siguiente es la lista de ejecutables que utiliza como host para su c\u00f3digo malicioso:<\/p>\n<ul>\n<li><strong>C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegSvcs.exe<\/strong><\/li>\n<li><strong>C:\\Windows\\Microsoft.NET\\Framework\\v2.0.50727\\RegSvcs.exe<\/strong><\/li>\n<li><strong>C:\\Windows\\Microsoft.NET\\Framework\\v3.5\\Msbuild.exe<\/strong><\/li>\n<\/ul>\n<p>El sistema firma y conf\u00eda en estos binarios y pueden evadir la detecci\u00f3n por parte del software de seguridad que se basa en los procesos del sistema de listas blancas.\u00a0Luego usa\u00a0<strong>Zwunmapviewofsection<\/strong>\u00a0para desasignar la memoria del proceso de destino, escribe la carga \u00fatil en el proceso suspendido y luego reanuda el hilo usando la API\u00a0<strong>ResumeThread<\/strong>\u00a0.<\/p>\n<h3>Carga \u00fatil final: el peligroso desenlace de un ataque cibern\u00e9tico y c\u00f3mo proteger su sistema de la infiltraci\u00f3n de una carga maliciosa<\/h3>\n<p>Durante nuestra investigaci\u00f3n, descubrimos que el actor de amenazas ha estado implementando diferentes cargas \u00fatiles.\u00a0A saber, observamos 2 familias: XWORM y AGENTTESLA.<\/p>\n<p>XWORM ha ganado notoriedad en el mercado criminal clandestino debido a su capacidad para emplear capacidades sofisticadas como la virtualizaci\u00f3n y la detecci\u00f3n de sandbox, que se utilizan para evitar la detecci\u00f3n y respaldar la persistencia dentro de un sistema infectado.<\/p>\n<p>De particular preocupaci\u00f3n es el hecho de que XWORM est\u00e1 f\u00e1cilmente disponible en Internet como una versi\u00f3n descifrada, siendo especialmente frecuente la versi\u00f3n 2.1.<\/p>\n<p>Esto destaca los peligros de los mercados clandestinos de delitos cibern\u00e9ticos y la facilidad con la que los actores maliciosos pueden acceder y utilizar herramientas poderosas.<\/p>\n<p>Se observaron dos versiones diferentes de la familia XWORM, las versiones 2.2 y 3.1.\u00a0La siguiente es la configuraci\u00f3n de un ejemplo de XWORM en texto sin formato.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/blt42b864b0c86eb54f\/642f0c8374d71410bfac487e\/image14.png\" alt=\"Configuraci\u00f3n de XWorm\" width=\"536\" height=\"382\" title=\"\"><\/p>\n<p>AGENTTESLA es un troyano y un ladr\u00f3n de credenciales escrito en .NET.\u00a0Si bien surgi\u00f3 por primera vez en 2014, ahora se encuentra entre los programas m\u00e1s activos y maliciosos.<\/p>\n<p>AGENTTESLA tiene un precio asequible e incluye soporte de los desarrolladores, lo que lo hace f\u00e1cilmente accesible para los ciberdelincuentes con habilidades t\u00e9cnicas limitadas.<\/p>\n<p>La muestra que analizamos estaba muy ofuscada, enmascarada como un instalador de AVG y aprovecha la discordia para C2.<\/p>\n<p>Carga la informaci\u00f3n robada en el canal Discord del atacante a trav\u00e9s del siguiente webhook:<\/p>\n<blockquote><p>https:\/\/discord[.]com\/api\/webhooks\/1089956337733087274\/uYNA_D8Ns1z9NZ3B1mGp0XXyGq-785KLGIfEAZsrz3TJd5fvOjXA927F7bUTTzbNT6Zk.<\/p><\/blockquote>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/bltfc00d791fc8c1df0\/642f0c7b18bad210b77fa27b\/image6.png\" alt=\"Agente Tesla disfrazado de instalador de AVG\" width=\"538\" height=\"221\" title=\"\"><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-fluid aligncenter\" src=\"https:\/\/images.contentstack.io\/v3\/assets\/bltefdd0b53724fa2ce\/blt73558ffd882a5550\/642f0c7b2673c111da708471\/image7.png\" alt=\"El webhook de discord extra\u00eddo din\u00e1micamente\" width=\"604\" height=\"118\" title=\"\"><\/p>\n<h2>T\u00e1cticas y t\u00e9cnicas adversarias observadas: c\u00f3mo los ciberatacantes utilizan m\u00e9todos avanzados para evadir la detecci\u00f3n y explotar vulnerabilidades en sistemas inform\u00e1ticos<\/h2>\n<p>Elastic usa el marco MITRE ATT&amp;CK para documentar t\u00e1cticas, t\u00e9cnicas y procedimientos comunes que usan las amenazas.<\/p>\n<h2>T\u00e1ctica<\/h2>\n<p>Las t\u00e1cticas representan el \u201cpor qu\u00e9\u201d de una t\u00e9cnica o subt\u00e9cnica.\u00a0Representan los objetivos t\u00e1cticos del adversario: la raz\u00f3n para realizar una acci\u00f3n.<\/p>\n<ul>\n<li><a href=\"https:\/\/attack.mitre.org\/tactics\/TA0001\" target=\"_blank\" rel=\"noopener\">Acceso inicial<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/tactics\/TA0002\" target=\"_blank\" rel=\"noopener\">Ejecuci\u00f3n<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/tactics\/TA0003\" target=\"_blank\" rel=\"noopener\">Persistencia<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/tactics\/TA0011\" target=\"_blank\" rel=\"noopener\">Comando y control<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/tactics\/TA0005\" target=\"_blank\" rel=\"noopener\">Evasi\u00f3n de defensa<\/a><\/li>\n<\/ul>\n<h2>T\u00e9cnicas\/subt\u00e9cnicas<\/h2>\n<p>Las T\u00e9cnicas y Subt\u00e9cnicas representan c\u00f3mo un adversario logra un objetivo t\u00e1ctico al realizar una acci\u00f3n.<\/p>\n<ul>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/\" target=\"_blank\" rel=\"noopener\">Inyecci\u00f3n de proceso<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1070\/004\/\" target=\"_blank\" rel=\"noopener\">Eliminaci\u00f3n de indicador: Eliminaci\u00f3n de archivos<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1053\/005\/\" target=\"_blank\" rel=\"noopener\">Tarea\/trabajo programado: Tarea programada<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1204\/002\/\" target=\"_blank\" rel=\"noopener\">Ejecuci\u00f3n de usuario: archivo malicioso<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1566\/001\/\" target=\"_blank\" rel=\"noopener\">Suplantaci\u00f3n de identidad: archivo adjunto de suplantaci\u00f3n de identidad<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1059\/003\/\" target=\"_blank\" rel=\"noopener\">Int\u00e9rprete de comandos y secuencias de comandos: Powershell<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1027\/\" target=\"_blank\" rel=\"noopener\">Archivos o informaci\u00f3n ofuscados<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1629\/003\/\" target=\"_blank\" rel=\"noopener\">Debilitar defensas: deshabilitar o modificar herramientas<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1136\/\" target=\"_blank\" rel=\"noopener\">Crear una cuenta<\/a><\/li>\n<\/ul>\n<h2>L\u00f3gica de detecci\u00f3n YARA<\/h2>\n<p>La gente de Elastic Security ha creado reglas YARA para identificar esta actividad.<\/p>\n<p>A continuaci\u00f3n, se muestran las reglas de YARA para identificar las familias de malware XWORM y\u00a0<a href=\"https:\/\/github.com\/elastic\/protections-artifacts\/blob\/main\/yara\/rules\/Windows_Trojan_AgentTesla.yar\" target=\"_blank\" rel=\"noopener\">AGENTTESLA<\/a>\u00a0.<\/p>\n<pre><code>rule Windows_Trojan_Xworm_732e6c12 {\r\nmeta:\r\n    author = \"Elastic Security\"\r\n    id = \"732e6c12-9ee0-4d04-a6e4-9eef874e2716\"\r\n    fingerprint = \"afbef8e590105e16bbd87bd726f4a3391cd6a4489f7a4255ba78a3af761ad2f0\"\r\n    creation_date = \"2023-04-03\"\r\n    last_modified = \"2023-04-03\"\r\n    os = \"Windows\"\r\n    arch = \"x86\"\r\n    category_type = \"Trojan\"\r\n    family = \"Xworm\"\r\n    threat_name = \"Windows.Trojan.Xworm\"\r\n    source = \"Manual\"\r\n    maturity = \"Diagnostic\"\r\n    reference_sample = \"bf5ea8d5fd573abb86de0f27e64df194e7f9efbaadd5063dee8ff9c5c3baeaa2\"\r\n    scan_type = \"File, Memory\"\r\n    severity = 100\r\n\r\nstrings:\r\n    $str1 = \"startsp\" ascii wide fullword\r\n    $str2 = \"injRun\" ascii wide fullword\r\n    $str3 = \"getinfo\" ascii wide fullword\r\n    $str4 = \"Xinfo\" ascii wide fullword\r\n    $str5 = \"openhide\" ascii wide fullword\r\n    $str6 = \"WScript.Shell\" ascii wide fullword\r\n    $str7 = \"hidefolderfile\" ascii wide fullword\r\ncondition:\r\n    all of them}\r\n\r\nrule Windows_Trojan_AgentTesla_d3ac2b2f {\r\nmeta:\r\n    author = \"Elastic Security\"\r\n    id = \"d3ac2b2f-14fc-4851-8a57-41032e386aeb\"\r\n    fingerprint = \"cbbb56fe6cd7277ae9595a10e05e2ce535a4e6bf205810be0bbce3a883b6f8bc\"\r\n    creation_date = \"2021-03-22\"\r\n    last_modified = \"2022-06-20\"\r\n    os = \"Windows\"\r\n    arch = \"x86\"\r\n    category_type = \"Trojan\"\r\n    family = \"AgentTesla\"\r\n    threat_name = \"Windows.Trojan.AgentTesla\"\r\n    source = \"Manual\"\r\n    maturity = \"Diagnostic, Production\"\r\n    reference_sample = \"65463161760af7ab85f5c475a0f7b1581234a1e714a2c5a555783bdd203f85f4\"\r\n    scan_type = \"File, Memory\"\r\n    severity = 100\r\n\r\nstrings:\r\n    $a1 = \"GetMozillaFromLogins\" ascii fullword\r\n    $a2 = \"AccountConfiguration+username\" wide fullword\r\n    $a3 = \"MailAccountConfiguration\" ascii fullword\r\n    $a4 = \"KillTorProcess\" ascii fullword\r\n    $a5 = \"SmtpAccountConfiguration\" ascii fullword\r\n    $a6 = \"GetMozillaFromSQLite\" ascii fullword<\/code><\/pre>\n<\/div>\n<\/div>\n<p><span style=\"color: #ffffff;\">XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA,\u00a0<\/span><\/p>\n<h5>Por Marcelo Lozano &#8211; General Publisher IT CONNECT LATAM<\/h5>\n<p>&nbsp;<\/p>\n<h6>Lea m\u00e1s sobre ciberseguridad\u00a0 en;<\/h6>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/ransomware-babuk-001\/\">Ransomware Babuk: la filtraci\u00f3n del c\u00f3digo fuente deriv\u00f3 en 9 cepas nuevas<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/la-revolucion-biometrica-bancaria-001\/\">La revoluci\u00f3n biom\u00e9trica bancaria: \u00a1Ventajas 2023!<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/ingenieria-social-001\/\">Ingenier\u00eda Social y funcionalidades maliciosas 2023: aumentan el malware<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/ciberseguridad-2023-001\/\">Ciberseguridad 2023 en tiempos de recesi\u00f3n: Oportunidades y desaf\u00edos<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/claves-de-paso-001\/\">Claves de paso en Google para un inicio seguro: \u00a1Protecci\u00f3n 2023! &#x1f512;<\/a><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"color: #ffffff;\">XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA, XWORM y AGENTTESLA,\u00a0<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>XWORM y AGENTTESLA son algunos de los tipos de malware cargados por los ciberdelincuentes que utilizan documentos de Word modificados para ejecutar scripts maliciosos de PowerShell. Adem\u00e1s, los atacantes emplean un cargador .NET personalizado ofuscado para facilitar la carga de estos tipos de malware en los sistemas de las v\u00edctimas. La utilizaci\u00f3n de un cargador [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":2386,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[58],"tags":[2597,339,1106,1453,1113,409,1104,2594,254,1457,1805,1125,1109,2602,783,1717,901,1099,289,1011,1957,273,2601,1365,2315,2603,2600,443,2554,1183,1114,235,887,2598,383,1193,1121,2599,2608,2604,2605,2606,406,2319,2607,1973,1111,752,338,316,2596,2595],"class_list":["post-2379","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-agent-tesla","tag-amenazas","tag-analisis-de-seguridad","tag-ataques-informaticos","tag-auditorias-de-seguridad","tag-autenticacion","tag-autenticacion-de-usuarios","tag-card-booking-details-docx","tag-ciberseguridad","tag-cifrado-de-datos","tag-conciencia-de-seguridad","tag-control-de-accesos","tag-criptografia","tag-cumplimiento-de-normativas","tag-deteccion-de-intrusiones","tag-firewall","tag-gestion-de-riesgos","tag-ingenieria-social","tag-malware","tag-monitoreo-de-seguridad","tag-normativas-de-seguridad","tag-phishing","tag-plan-de-contingencia","tag-politicas-de-seguridad","tag-prevencion-de-intrusos","tag-proteccion-contra-ataques-ddos","tag-proteccion-contra-vulnerabilidades","tag-proteccion-de-datos","tag-proteccion-de-la-privacidad","tag-proteccion-de-la-propiedad-intelectual","tag-pruebas-de-penetracion","tag-ransomware","tag-respuesta-a-incidentes","tag-seguridad-de-aplicaciones-web","tag-seguridad-de-la-informacion","tag-seguridad-en-aplicaciones-moviles","tag-seguridad-en-dispositivos-moviles","tag-seguridad-en-el-correo-electronico","tag-seguridad-en-el-software","tag-seguridad-en-la-infraestructura","tag-seguridad-en-la-inteligencia-artificial","tag-seguridad-en-la-internet-de-las-cosas","tag-seguridad-en-la-nube","tag-seguridad-en-la-virtualizacion","tag-seguridad-en-los-servicios-en-la-nube","tag-seguridad-en-redes","tag-seguridad-fisica","tag-seguridad-informatica","tag-troyanos","tag-virus","tag-xworm","tag-xworm-y-agenttesla"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/2379","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=2379"}],"version-history":[{"count":4,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/2379\/revisions"}],"predecessor-version":[{"id":7748,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/2379\/revisions\/7748"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/2386"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=2379"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=2379"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=2379"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}