Los actores de amenazas están vendiendo un nuevo cifrador y cargador llamado ASMCriptoque ha sido descrito como una «versión evolucionada» de otro malware de carga conocido como DoubleFinger.
«La idea detrás de este tipo de malware es cargar la carga útil final sin que AV/EDR, etc. detecte el proceso de carga o la carga útil en sí», Kaspersky dicho en un análisis publicado esta semana.
DoubleFinger fue documentado por primera vez por la empresa rusa de ciberseguridad y detalla las cadenas de infección que aprovechan el malware para propagar un ladrón de criptomonedas denominado GreetingGhoul a víctimas en Europa, EE. UU. y América Latina.
ASMCrypt, una vez comprado y lanzado por los clientes, está diseñado para establecer contacto con un servicio backend a través de la red TOR utilizando credenciales codificadas, lo que permite a los compradores crear cargas útiles de su elección para usar en sus campañas.
«La aplicación crea un blob cifrado escondido dentro de un archivo .PNG», dijo Kaspersky. «Esta imagen debe cargarse en un sitio de alojamiento de imágenes».
Los cargadores se han vuelto cada vez más populares por su capacidad para actuar como un servicio de entrega de malware que puede ser utilizado por varios actores de amenazas para obtener acceso inicial a las redes para realizar ataques de ransomware, robo de datos y otras actividades cibernéticas maliciosas.
Esto incluye jugadores nuevos y establecidos, como Bumblebee, CustomerLoader y GuLoader, que se han utilizado para distribuir una variedad de software malicioso. Curiosamente, todas las cargas útiles descargadas por CustomerLoader son artefactos dotRunpeX que, a su vez, implementan el malware de etapa final.
«Es muy probable que CustomerLoader esté asociado con un cargador como servicio y sea utilizado por múltiples actores de amenazas», Sekoia.io dicho. «Es posible que CustomerLoader sea una nueva etapa agregada antes de la ejecución del inyector dotRunpeX por parte de su desarrollador».
Bumblebee, por otro lado, resurgió después de una pausa de dos meses hacia fines de agosto de 2023 en una nueva campaña de distribución que empleó servidores Web Distributed Authoring and Versioning (WebDAV) para difundir el cargador, una táctica previamente adoptada en Ataques IcedID.
«En este esfuerzo, los actores de amenazas utilizaron correos electrónicos no deseados maliciosos para distribuir accesos directos de Windows (.LNK) y archivos comprimidos (.ZIP) que contienen archivos .LNK», Intel 471 dicho. «Cuando los activa el usuario, estos archivos LNK ejecutan un conjunto predeterminado de comandos diseñados para descargar el malware Bumblebee alojado en servidores WebDAV».
El cargador es una variante actualizada que ha pasado del uso del protocolo WebSocket a TCP para las comunicaciones del servidor de comando y control (C2), así como de una lista codificada de servidores C2 a un algoritmo de generación de dominio (DGA) que tiene como objetivo hacerlo resistente frente a la eliminación de dominios.
En lo que es una señal de una economía del cibercrimen en proceso de maduración, los actores de amenazas que antes se suponía que eran distintos se han asociado con otros grupos, como se evidencia en el caso de una «alianza oscura» entre GuLoader y Remcos RAT.
Aunque aparentemente se anuncia como software legítimo, un análisis reciente de Check Point descubrió el uso de GuLoader para distribuir predominantemente Remcos RAT, incluso cuando el primero ahora se vende como un cifrador con un nuevo nombre llamado TheProtect que hace que su carga útil sea totalmente indetectable por el software de seguridad. .
Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
«Un individuo que opera bajo el alias EMINэM administra los sitios web BreakingSecurity y VgoStore que venden abiertamente Remcos y GuLoader», la empresa de ciberseguridad dicho.
«Las personas detrás de estos servicios están profundamente entrelazadas con la comunidad cibercriminal, aprovechando sus plataformas para facilitar actividades ilegales y beneficiarse de la venta de herramientas cargadas de malware».
El desarrollo llega como nuevas versiones de un malware que roba información conocidos como Lumma Stealer han sido detectados en la naturaleza, y el malware se distribuye a través de un sitio web falso que imita un sitio legítimo de .DOCX a .PDF.
Por lo tanto, cuando se carga un archivo, el sitio web devuelve un binario malicioso que se hace pasar por un PDF con una doble extensión «.pdf.exe» que, al ejecutarse, recopila información confidencial de los hosts infectados.
Vale la pena señalar que Lumma Stealer es la última bifurcación de un conocido malware ladrón llamado Arkei, que ha evolucionado hasta convertirse en Vidar, Oski y Mars en los últimos años.
«El malware está en constante evolución, como lo ilustra Lumma Stealer, que tiene múltiples variaciones con distintas funcionalidades», dijo Kaspersky.