Los investigadores de ciberseguridad han revelado una nueva campaña de malware que ofrece artefactos de Hijack Loader firmados con certificados de firma de código legítimos.
La empresa francesa de ciberseguridad HarfangLab, que detectó la actividad a principios de mes, dicho Las cadenas de ataque tienen como objetivo desplegar un ladrón de información conocido como Lumma.
Hijack Loader, también conocido como DOILoader, IDAT Loader y SHADOWLADDER, salió a la luz por primera vez en septiembre de 2023. Las cadenas de ataques que involucran al cargador de malware generalmente implican engañar a los usuarios para que descarguen un binario con trampa explosiva bajo la apariencia de software o películas pirateadas.
Se ha descubierto que variaciones recientes de estas campañas dirigen a los usuarios a páginas CAPTCHA falsas que instan a los visitantes del sitio a demostrar que son humanos copiando y ejecutando un comando PowerShell codificado que coloca la carga maliciosa en forma de un archivo ZIP.
HarfangLab dijo que observó tres versiones diferentes del script de PowerShell a partir de mediados de septiembre de 2024:
- Un script de PowerShell que aprovecha mshta.exe para ejecutar código alojado en un servidor remoto
- Un script de PowerShell alojado de forma remota que se ejecuta directamente a través del Cmdlet Invoke-Expresión (también conocido como iex)
- Un script de PowerShell que emplea msiexec.exe para descargar y ejecutar una carga útil desde una URL remota
El archivo ZIP, por su parte, incluye un ejecutable genuino que es susceptible a la carga lateral de DLL y la DLL maliciosa (es decir, Hijack Loader) que debe cargarse en su lugar.
“El propósito de la DLL HijackLoader descargada es descifrar y ejecutar un archivo cifrado que se proporciona en el paquete”, dijo HarfangLab. “Este archivo oculta la etapa final de HijackLoader, cuyo objetivo es descargar y ejecutar un implante ladrón”.
Se dice que el mecanismo de entrega ha cambiado de la carga lateral de DLL al uso de varios binarios firmados a principios de octubre de 2024 en un intento de evadir la detección por parte del software de seguridad.
Actualmente no está claro si todos los certificados de firma de código fueron robados o generados intencionalmente por los propios actores de la amenaza, aunque la empresa de ciberseguridad evaluó con confianza baja a media que podría ser lo último. Desde entonces, los certificados han sido revocados.
“Para varias autoridades emisoras de certificados, notamos que la adquisición y activación de un certificado de firma de código es en su mayor parte automatizada y sólo requiere un número de registro de empresa válido, así como una persona de contacto”, dijo. “Esta investigación subraya que el malware se puede firmar y destaca que la firma del código por sí sola no puede servir como indicador básico de confiabilidad”.
El desarrollo se produce cuando SonicWall Capture Labs advirtió sobre un aumento en los ataques cibernéticos que infectan máquinas con Windows con un malware denominado CoreWarrior.
“Este es un troyano persistente que intenta propagarse rápidamente creando docenas de copias de sí mismo y llegando a múltiples direcciones IP, abriendo múltiples sockets para acceso por puerta trasera y conectando elementos de la interfaz de usuario de Windows para su monitoreo”, dice. dicho.
También se han observado campañas de phishing que entregan un malware de carga y ladrón de productos conocido como XWorm mediante un archivo de script de Windows (WSF) que, a su vez, descarga y ejecuta un script de PowerShell alojado en un archivo pegado.[.]ee.
Posteriormente, el script de PowerShell inicia un script de Visual Basic, que actúa como un conducto para ejecutar una serie de scripts por lotes y de PowerShell para cargar una DLL maliciosa que es responsable de inyectar XWorm en un proceso legítimo (“RegSvcs.exe”).
La última versión de XWorm (versión 5.6) incluye la capacidad de informar el tiempo de respuesta, recopilar capturas de pantalla, leer y modificar el archivo host de la víctima, realizar un ataque de denegación de servicio (DoS) contra un objetivo y eliminar complementos almacenados, lo que indica una intentar evitar dejar un rastro forense.
“XWorm es una herramienta multifacética que puede proporcionar una amplia gama de funciones al atacante”, dijo el investigador de seguridad de Netskope Threat Labs, Jan Michael Alcantara. dicho.