Los operadores detrás de Rig Exploit Kit cambiaron el malware Raccoon Stealer por el troyano financiero Dridex como parte de una campaña en curso que comenzó en enero de 2022.
El cambio en el modus operandi, manchado por la empresa rumana Bitdefender, se produce después de que Raccoon Stealer cerrara temporalmente el proyecto después de que uno de los miembros de su equipo responsable de las operaciones críticas falleciera en la guerra ruso-ucraniana en marzo de 2022.
El Rig Exploit Kit se destaca por su abuso de las vulnerabilidades del navegador para distribuir una variedad de malware. Descubierto por primera vez en 2019, Raccoon Stealer es un troyano que roba credenciales que se anuncia y vende en foros clandestinos como malware como servicio (MaaS) por $ 200 al mes.
Dicho esto, los actores de Raccoon Stealer ya están trabajando en una segunda versión que se espera que sea «reescrita desde cero y optimizada». Pero el vacío dejado por la salida del malware está siendo ocupado por otros ladrones de información como RedLine Stealer y Vidar.
Dridex (también conocido como Bugat y Cridex), por su parte, tiene la capacidad de descargar payloads adicionales, infiltrarse en los navegadores para robar la información de inicio de sesión del cliente ingresada en sitios web bancarios, capturar capturas de pantalla y registrar pulsaciones de teclas, entre otros, a través de diferentes módulos que permiten que su funcionalidad sea extendida a voluntad.
En abril de 2022, Bitdefender descubrió otra campaña de Rig Exploit Kit que distribuía el troyano RedLine Stealer al explotar una falla de Internet Explorer parcheada por Microsoft el año pasado (CVE-2021-26411).
Eso no es todo. El pasado mes de mayo, una campaña aparte explotado dos vulnerabilidades del motor de secuencias de comandos en navegadores Internet Explorer sin parches (CVE-2019-0752 y CVE-2018-8174) para entregar un malware llamado WastedLoader, llamado así por sus similitudes con WasterLocker pero sin el componente de ransomware.
“Esto demuestra una vez más que los actores de amenazas son ágiles y rápidos para adaptarse al cambio”, dijo la firma de ciberseguridad. «Por su diseño, Rig Exploit Kit permite la sustitución rápida de cargas útiles en caso de detección o compromiso, lo que ayuda a los grupos de delincuentes cibernéticos a recuperarse de interrupciones o cambios ambientales».