Un nuevo malware basado en Go conocido como Aurora Stealer se implementa cada vez más como parte de campañas diseñadas para robar información confidencial de hosts comprometidos.
«Estas cadenas de infección aprovecharon las páginas de phishing que se hacen pasar por páginas de descarga de software legítimo, incluidas las billeteras de criptomonedas o las herramientas de acceso remoto, y el método 911 que utiliza videos de YouTube y sitios web falsos de descarga de software pirateado con SEO», firma de seguridad cibernética SEKOIA. dijo.
Anunciado por primera vez en los foros de ciberdelincuencia rusos en abril de 2022, Aurora se ofreció como un malware básico para otros actores de amenazas, y lo describió como un «botnet multipropósito con capacidades de robo, descarga y acceso remoto».
En los meses intermedios, el malware se redujo a un ladrón que puede recopilar archivos de interés, datos de 40 billeteras de criptomonedas y aplicaciones como Telegram.
Aurora también viene con un cargador que puede implementar una carga útil de siguiente etapa mediante un comando de PowerShell.
La empresa de ciberseguridad dijo que al menos diferentes grupos de ciberdelincuencia, llamados traficantesque son responsables de redirigir el tráfico de los usuarios a contenido malicioso operado por otros actores, han agregado Aurora a su conjunto de herramientas, ya sea de forma exclusiva o junto con RedLine y Raccoon.
«Aurora es otro ladrón de información que apunta a datos de navegadores, billeteras de criptomonedas, sistemas locales y actúa como un cargador», dijo SEKOIA. «Vendidos a un alto precio en los mercados, los datos recopilados son de particular interés para los ciberdelincuentes, ya que les permiten realizar lucrativas campañas de seguimiento, incluidas las operaciones de Big Game Hunting».
El desarrollo también se produce cuando los investigadores de la Unidad 42 de Palo Alto Networks detallaron una versión mejorada de otro ladrón llamado Typhon Stealer.
La nueva variante, apodada tifón renacidoestá diseñado para robar de carteras de criptomonedas, navegadores web y otros datos del sistema, al mismo tiempo que elimina características previamente existentes como el registro de teclas y la extracción de criptomonedas en un probable intento de minimizar la detección.
«Typhon Stealer proporcionó a los actores de amenazas un constructor configurable y fácil de usar», dijeron los investigadores de la Unidad 42, Riley Porter y Uday Pratap Singh.
«Las nuevas técnicas antianálisis de Typhon Reborn están evolucionando a lo largo de las líneas de la industria, volviéndose más efectivas en las tácticas de evasión y ampliando su conjunto de herramientas para robar datos de las víctimas».