Los investigadores de ciberseguridad han detallado el funcionamiento interno de un cargador altamente evasivo llamado «in2al5d p3in4er» (léase: impresora no válida) que se utiliza para entregar el malware de robo de información Aurora.
«El cargador in2al5d p3in4er está compilado con Embarcadero Estudio RAD y apunta a estaciones de trabajo de punto final que utilizan una técnica avanzada anti-VM (máquina virtual), «la empresa de seguridad cibernética Morphisec dicho en un informe compartido con The Hacker News.
Aurora es un ladrón de información basado en Go que surgió en el panorama de las amenazas a fines de 2022. Se ofrece como un malware básico a otros actores y se distribuye a través de videos de YouTube y sitios web de descarga de software pirateado falsos preparados para SEO.
Al hacer clic en los enlaces presentes en las descripciones de los videos de YouTube, se redirige a la víctima a sitios web de señuelo en los que se los atrae para que descarguen el malware bajo la apariencia de una utilidad aparentemente legítima.
El cargador analizado por Morphisec está diseñado para consultar el ID de proveedor de la tarjeta gráfica instalada en un sistema y compararlo con un conjunto de ID de proveedores incluidos en la lista de permitidos (AMD, Intel o NVIDIA). Si el valor no coincide, el cargador se cierra solo.
El cargador finalmente descifra la carga útil final y la inyecta en un proceso legítimo llamado «sihost.exe» usando una técnica llamada proceso de vaciado. Alternativamente, algunas muestras de cargador también asignan memoria para escribir la carga útil descifrada e invocarla desde allí.
«Durante el proceso de inyección, todas las muestras del cargador resuelven dinámicamente las API Win necesarias y descifran estos nombres usando una clave XOR: ‘in2al5d p3in4er'», dijeron los investigadores de seguridad Arnold Osipov y Michael Dereviashkin.
Otro aspecto crucial del cargador es su uso de Embarcadero RAD Studio para generar ejecutables para múltiples plataformas, lo que le permite evadir la detección.
«Aquellos con la tasa de detección más baja en VirusTotal se compilan usando ‘BCC64.exe’, un nuevo compilador C++ basado en Clang de Embarcadero», dijo la compañía de ciberseguridad israelí, señalando su capacidad para evadir sandboxes y máquinas virtuales.
«Este compilador utiliza una base de código diferente, como ‘Biblioteca estándar’ (Dinkumware) y ‘Biblioteca de tiempo de ejecución’ (compilador-rt) y genera un código optimizado que cambia el punto de entrada y el flujo de ejecución. Esto rompe los indicadores de los proveedores de seguridad, como las firmas. compuesto a partir de un ‘bloque de código malicioso/sospechoso'».
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
En pocas palabras, los hallazgos muestran que los actores de amenazas detrás de in2al5d p3in4er están aprovechando los métodos de ingeniería social para una campaña de alto impacto que emplea YouTube como un canal de distribución de malware y dirige a los espectadores a sitios web falsos de apariencia convincente para distribuir el malware ladrón.
El desarrollo se produce cuando Intel 471 descubrió otro cargador de malware aresloader que se comercializa por $ 300 / mes como un servicio para que los delincuentes empujen a los ladrones de información disfrazados de software popular utilizando una herramienta de enlace. Se sospecha que el cargador fue desarrollado por un grupo vinculado al hacktivismo ruso.
Algunas de las familias de malware más destacadas que se propagan mediante AresLoader desde enero de 2023 incluyen Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc y SystemBC.