Investigadores de ciberseguridad han descubierto un nuevo cargador de malware evasivo llamado cargador de calamar que se propaga a través de campañas de phishing dirigidas a organizaciones chinas.
AT&T LevelBlue Labs, que observó el malware por primera vez a finales de abril de 2024, dijo que incorpora funciones diseñadas para frustrar el análisis estático y dinámico y, en última instancia, evadir la detección.
Las cadenas de ataque aprovechan los correos electrónicos de phishing que vienen con archivos adjuntos que se hacen pasar por documentos de Microsoft Word, pero que, en realidad, son archivos binarios que allanan el camino para la ejecución del malware, que luego se utiliza para recuperar cargas útiles de shellcode de segunda etapa desde un servidor remoto. incluido Cobalt Strike.
«Estos cargadores cuentan con pesados mecanismos de evasión y señuelo que les ayudan a pasar desapercibidos y al mismo tiempo dificultan el análisis», afirma el investigador de seguridad Fernando Domínguez. dicho. «El código shell que se entrega también se carga en el mismo proceso de carga, lo que probablemente evitará escribir la carga útil en el disco y, por lo tanto, correrá el riesgo de ser detectado».
Algunas de las técnicas de evasión defensiva adoptadas por SquidLoader abarcan el uso de segmentos de código cifrados, código inútil que no se utiliza, ofuscación de Gráfico de flujo de control (CFG), detección de depuradores y realización de llamadas directas al sistema en lugar de llamar a las API de Windows NT.
El malware de carga se ha convertido en un producto popular en el mundo criminal para los actores de amenazas que buscan entregar y lanzar cargas útiles adicionales a hosts comprometidos, evitando al mismo tiempo las defensas antivirus y otras medidas de seguridad.
El año pasado, el incidente de Aon en Stroz Friedberg detalló un cargador conocido como Cargador Tauro que se ha observado distribuyendo el ladrón de información Taurus así como AgenteVXun troyano con capacidades para ejecutar más malware y configurar la persistencia mediante cambios en el Registro de Windows y recopilar datos.
El desarrollo se produce cuando un nuevo análisis en profundidad de un cargador de malware y puerta trasera denominado PikaBot ha destacado que sus desarrolladores continúan desarrollándolo activamente desde su aparición en febrero de 2023.
«El malware emplea técnicas antianálisis avanzadas para evadir la detección y reforzar el análisis, incluidas comprobaciones del sistema, llamadas al sistema indirectas, cifrado de cadenas y de la siguiente etapa, y resolución API dinámica», dijo Sekoia. dicho. «Las recientes actualizaciones del malware han mejorado aún más sus capacidades, lo que hace que su detección y mitigación sea aún más difícil».
También sigue recomendaciones de BitSight que la infraestructura relacionada con otro cargador de malware llamado Latrodectus se ha desconectado a raíz de un esfuerzo policial denominado Operación Endgame que vio más de 100 servidores de botnets, incluidos los asociados con IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee y TrickBot. desmantelado.
La empresa de ciberseguridad dijo que observó cerca de 5.000 víctimas distintas repartidas en 10 campañas diferentes, y que la mayoría de las víctimas se encontraban en EE. UU., Reino Unido, Países Bajos, Polonia, Francia, Chequia, Japón, Australia, Alemania y Canadá.