Los investigadores de seguridad cibernética han expuesto nuevas conexiones entre un servicio de malware de pago por instalación (PPI) ampliamente utilizado conocido como PrivateLoader y otro servicio de PPI denominado ruzki.
«El actor de amenazas ruzki (también conocido como les0k, zhigalsz) anuncia su servicio PPI en foros clandestinos de habla rusa y sus canales de Telegram bajo el nombre ruzki o zhigalsz desde al menos mayo de 2021». SEKOIA dijo.
La firma de ciberseguridad dijo que sus investigaciones sobre los servicios gemelos la llevaron a concluir que PrivateLoader es el cargador patentado del servicio de malware ruzki PPI.
PrivateLoader, como su nombre lo indica, funciona como un cargador basado en C++ para descargar e implementar cargas maliciosas adicionales en hosts de Windows infectados. Se distribuye principalmente a través de sitios web optimizados para SEO que afirman proporcionar software descifrado.
Aunque Intel471 lo documentó por primera vez a principios de febrero, se dice que se puso en uso a partir de mayo de 2021.
Algunas de las familias de malware de productos básicos más comunes que se propagan a través de PrivateLoader incluyen Redline Stealer, SocelaresLadrón de mapaches, Vidar, TofseeAmadey, DanaBot y ransomware cepas Djvu y STOP.
Un análisis de mayo de 2022 de Trend Micro descubrió el malware que distribuye un marco llamado NetDooka. Un informe de seguimiento de BitSight a fines del mes pasado fundar infecciones significativas en India y Brasil a partir de julio de 2022.
Un nuevo cambio detectado por SEKOIA es el uso del servicio de documentos VK.com para alojar las cargas maliciosas en lugar de Discord, un cambio probablemente motivado por una mayor supervisión de la red de entrega de contenido de la plataforma.
PrivateLoader también está configurado para comunicarse con servidores de comando y control (C2) para obtener y filtrar datos. A mediados de septiembre, hay cuatro servidores C2 activos, dos en Rusia y uno en Chequia y Alemania.
«Con base en la amplia selección de familias de malware, lo que implica una amplia gama de actores de amenazas o conjuntos de intrusos que operan este malware, el servicio PPI que ejecuta PrivateLoader es muy atractivo y popular para los atacantes en los mercados clandestinos», dijeron los investigadores.
SEKOIA dijo además que descubrió vínculos entre PrivateLoader y ruzki, un actor de amenazas que vende paquetes de 1000 instalaciones en sistemas infectados ubicados en todo el mundo ($70), o específicamente en Europa ($300) o EE. UU. ($1000).
Estos anuncios, que se han colocado en el foro de ciberdelincuencia de Lolz Guru, se dirigen a los actores de amenazas (también conocidos como clientes potenciales) que desean distribuir sus cargas útiles a través del servicio PPI.
La asociación se deriva principalmente de las siguientes observaciones:
- Una superposición entre los servidores PrivateLoader C2 y las URL proporcionadas por ruzki a los suscriptores para monitorear las estadísticas de instalación relacionadas con sus campañas.
- Referencias a ruzki en los nombres de muestra de la botnet PrivateLoader que se usaron para entregar el Redline Stealer, como ruzki9 y 3108_RUZKI, y
- El hecho de que tanto PrivateLoader como ruzki iniciaron operaciones en mayo de 2021, con el operador de ruzki utilizando el término «nuestro cargador» en ruso en su canal de Telegram
«Los servicios de pago por instalación siempre jugaron un papel clave en la distribución de malware básico», dijeron los investigadores.
«Como otra solución llave en mano que reduce el costo de entrada en el mercado cibercriminal y un servicio que contribuye a una profesionalización continua del ecosistema cibercriminal, es muy probable que se observe más actividad relacionada con PrivacyLoader en el corto plazo».