Los actores de amenazas detrás del malware More_eggs se han vinculado a dos nuevas familias de malware, lo que indica una expansión de su operación de malware como servicio (MaaS).
Esto incluye una novedosa puerta trasera para robar información llamada RevC2 y un cargador con nombre en código Venom Loader, los cuales se implementan utilizando VenomLNK, una herramienta básica que sirve como vector de acceso inicial para el despliegue de cargas útiles de seguimiento.
“RevC2 utiliza WebSockets para comunicarse con su servidor de comando y control (C2). El malware es capaz de robar cookies y contraseñas, proxy del tráfico de red y permite la ejecución remota de código (RCE)”, dijo Muhammed Irfan VA, investigador de Zscaler ThreatLabz. dicho.
“Venom Loader es un nuevo cargador de malware personalizado para cada víctima, utilizando el nombre de la computadora de la víctima para codificar la carga útil”.
Ambas familias de malware se distribuyeron como parte de campañas observadas por la empresa de ciberseguridad entre agosto y octubre de 2024. El actor de amenazas detrás de las ofertas de delitos electrónicos se rastrea como Venom Spider (también conocido como Golden Chickens).
Actualmente se desconoce el mecanismo de distribución exacto, pero el punto de partida de una de las campañas es VenomLNK, que, además de mostrar una imagen señuelo PNG, ejecuta RevC2. La puerta trasera está equipada para robar contraseñas y cookies de los navegadores Chromium, ejecutar comandos de shell, tomar capturas de pantalla, tráfico proxy usando SOCKS5 y ejecutar comandos como un usuario diferente.
La segunda campaña también comienza con VenomLNK para entregar una imagen de señuelo, mientras ejecuta sigilosamente Venom Loader. El cargador es responsable de lanzar More_eggs lite, una variante liviana de la puerta trasera de JavaScript que solo proporciona capacidades RCE.
Los nuevos hallazgos son una señal de que los autores de malware continúan actualizando y perfeccionando su conjunto de herramientas personalizadas con nuevo malware a pesar de que el año pasado se descubrió que dos personas de Canadá y Rumania ejecutaban la plataforma MaaS.
La divulgación se produce cuando ANY.RUN detalló un malware de carga sin archivos previamente no documentado denominado PSLoramyra, que se ha utilizado para entregar el malware de código abierto Quasar RAT.
“Este malware avanzado aprovecha los scripts de PowerShell, VBS y BAT para inyectar cargas útiles maliciosas en un sistema, ejecutarlas directamente en la memoria y establecer un acceso persistente”, dice. dicho.
About the Author
