El malware de descarga de JavaScript conocido como SocGholish (también conocido como FakeUpdates) se está utilizando para distribuir un troyano de acceso remoto llamado AsyncRAT, así como un proyecto legítimo de código abierto llamado BOINC.
BOINCabreviatura de Berkeley Open Infrastructure Network Computing Client, es un “cliente de computación voluntaria” de código abierto. plataforma mantenido por la Universidad de California con el objetivo de realizar “computación distribuida de alto rendimiento a gran escala” utilizando computadoras domésticas participantes en las que esté instalada la aplicación.
“Es similar a un minero de criptomonedas en ese sentido (utiliza recursos informáticos para realizar el trabajo) y, en realidad, está diseñado para recompensar a los usuarios con un tipo específico de criptomoneda llamada Gridcoin, diseñada para este propósito”, dijeron los investigadores de Huntress Matt Anderson, Alden Schmidt y Greg Linares. dicho en un informe publicado la semana pasada.
Estas instalaciones maliciosas están diseñadas para conectarse a un dominio controlado por un actor (“rosettahome”).[.]cn” o “rosettahome”[.]top”), que actúa esencialmente como un servidor de comando y control (C2) para recopilar datos del host, transmitir cargas útiles y enviar comandos adicionales. Al 15 de julio, 10.032 clientes están conectados a los dos dominios.
La empresa de ciberseguridad dijo que si bien no ha observado ninguna actividad o tarea de seguimiento ejecutada por los hosts infectados, planteó la hipótesis de que “las conexiones del host podrían venderse como vectores de acceso inicial para ser utilizados por otros actores y potencialmente utilizados para ejecutar ransomware”.
Las secuencias de ataque de SocGholish generalmente comienzan cuando los usuarios acceden a sitios web comprometidos, donde se les solicita que descarguen una actualización de navegador falsa que, al ejecutarse, desencadena la recuperación de cargas útiles adicionales en las máquinas infiltradas.
El descargador de JavaScript, en este caso, activa dos cadenas inconexas, una que conduce a la implementación de una variante sin archivos de AsyncRAT y la otra que resulta en la instalación de BOINC.
La aplicación BOINC, que se renombra como “SecurityHealthService.exe” o “trustedinstaller.exe” para evadir la detección, establece la persistencia mediante una tarea programada por medio de un script de PowerShell.
El uso indebido de BOINC con fines maliciosos no ha pasado desapercibido para los mantenedores del proyecto, quienes están Actualmente investigando El problema y la búsqueda de una forma de “derrotar este malware”. Las pruebas del abuso se remontan al menos al 26 de junio de 2024.
“La motivación y la intención del actor de la amenaza al cargar este software en los hosts infectados no están claras en este momento”, dijeron los investigadores.
“Los clientes infectados que se conectan activamente a servidores BOINC maliciosos presentan un riesgo bastante alto, ya que existe la posibilidad de que un actor de amenazas motivado haga un mal uso de esta conexión y ejecute cualquier cantidad de comandos o software malicioso en el host para aumentar aún más los privilegios o moverse lateralmente a través de una red y comprometer un dominio completo”.
El desarrollo se produce luego de que Check Point dijo que ha estado rastreando el uso de JavaScript V8 compilado por autores de malware para eludir detecciones estáticas y ocultar troyanos de acceso remoto, ladrones, cargadores, mineros de criptomonedas, limpiadores y ransomware.
“En la batalla continua entre los expertos en seguridad y los actores de amenazas, los desarrolladores de malware siguen ideando nuevos trucos para ocultar sus ataques”, dijo el investigador de seguridad Moshe Marelus. “No es sorprendente que hayan comenzado a utilizar V8, ya que esta tecnología se utiliza comúnmente para crear software, ya que está muy extendida y es extremadamente difícil de analizar”.