Una versión actualizada de un malware ladrón de información conocido como Jupyter ha resurgido con «cambios simples pero impactantes» que apuntan a establecer sigilosamente un punto de apoyo persistente en los sistemas comprometidos.
«El equipo ha descubierto nuevas oleadas de ataques Jupyter Infostealer que aprovechan las modificaciones de los comandos de PowerShell y las firmas de claves privadas en un intento de hacer pasar el malware como un archivo legítimamente firmado», investigadores de VMware Carbon Black. dicho en un informe compartido con The Hacker News.
Jupyter Infostealer, también conocido como Polazert, SolarMarker y Yellow Cockatoo, tiene un historial de aprovechar tácticas manipuladas de optimización de motores de búsqueda (SEO) y publicidad maliciosa como vector de acceso inicial para engañar a los usuarios que buscan software popular para que lo descarguen de sitios web dudosos.
Viene con capacidades para recopilar credenciales y establecer comunicación cifrada de comando y control (C2) para filtrar datos y ejecutar comandos arbitrarios.
El último conjunto de artefactos utiliza varios certificados para firmar el malware y darles una apariencia de legitimidad, solo para que los instaladores falsos activen la cadena de infección al iniciarse.
Los instaladores están diseñados para invocar una carga útil provisional que, a su vez, emplea PowerShell para conectarse a un servidor remoto y, en última instancia, decodificar e iniciar el malware ladrón.
El desarrollo se produce mientras el malware ladrón que se ofrece a la venta en el mundo del cibercrimen continúa evolucionando con nuevas tácticas y técnicas, reduciendo efectivamente la barrera de entrada para actores menos capacitados.
Esto incluye una actualización de Ladrón de lummasque ahora incorpora un cargador y la capacidad de generar aleatoriamente una compilación para mejorar la ofuscación.
«Esto hace que el malware pase de ser un tipo ladrón a ser un malware más tortuoso que puede cargar ataques de segunda etapa contra sus víctimas», VMware dicho. «El cargador proporciona una manera para que el actor de amenazas intensifique su ataque desde el robo de datos hasta infectar a sus víctimas con ransomware».
Otra familia de malware ladrón que ha recibido mejoras constantes es Mystic Stealer, que también ha agregado una funcionalidad de carga en versiones recientes para complementar sus capacidades de robo de información.
«El código continúa evolucionando y ampliando las capacidades de robo de datos y la comunicación de red se actualizó de un protocolo binario personalizado basado en TCP a un protocolo basado en HTTP», Zscaler dicho en un informe a finales del mes pasado.
«Las nuevas modificaciones han generado una mayor popularidad entre los actores de amenazas criminales que aprovechan su funcionalidad de cargador para distribuir familias de malware adicionales, incluidas RedLine, DarkGate y GCleaner».
La naturaleza en constante evolución de este tipo de malware se ejemplifica aún más con la aparición de ladrones y troyanos de acceso remoto como Akira ladrón y RATA Milenioque vienen equipados con varias funciones para facilitar el robo de datos.
La divulgación también llega cuando se ha observado que cargadores de malware como PrivateLoader y Amadey infectan miles de dispositivos con una botnet proxy denominada Socks5Systemz, que existe desde 2016.
La empresa de ciberseguridad Bitsight, que detalles revelados del servicio la semana pasada, dijo que identificó al menos 53 servidores relacionados con la botnet que se distribuyen en Francia, Bulgaria, Países Bajos y Suecia.
El objetivo final de la campaña es convertir las máquinas infectadas en servidores proxy capaces de reenviar tráfico a otros actores, legítimos o no, como una capa adicional de anonimato. Se sospecha que los actores de la amenaza son de origen ruso, dada la falta de contagios en el país.
«El servicio de proxy permite a los clientes elegir una suscripción que oscila entre 1 dólar y 4.000 dólares, pagadera en su totalidad utilizando criptomonedas», dijo Bitsight. «Según el análisis de telemetría de la red, se estima que esta botnet tiene aproximadamente 10.000 sistemas infectados con víctimas repartidas por todo el mundo».