Los actores de amenazas est\u00e1n vendiendo un nuevo cifrador y cargador llamado ASMCripto<\/strong>que ha sido descrito como una “versi\u00f3n evolucionada” de otro malware de carga conocido como DoubleFinger.<\/p>\n “La idea detr\u00e1s de este tipo de malware es cargar la carga \u00fatil final sin que AV\/EDR, etc. detecte el proceso de carga o la carga \u00fatil en s\u00ed”, Kaspersky dicho<\/a> en un an\u00e1lisis publicado esta semana.<\/p>\n DoubleFinger fue documentado por primera vez por la empresa rusa de ciberseguridad y detalla las cadenas de infecci\u00f3n que aprovechan el malware para propagar un ladr\u00f3n de criptomonedas denominado GreetingGhoul a v\u00edctimas en Europa, EE. UU. y Am\u00e9rica Latina.<\/p>\n ASMCrypt, una vez comprado y lanzado por los clientes, est\u00e1 dise\u00f1ado para establecer contacto con un servicio backend a trav\u00e9s de la red TOR utilizando credenciales codificadas, lo que permite a los compradores crear cargas \u00fatiles de su elecci\u00f3n para usar en sus campa\u00f1as.<\/p>\n “La aplicaci\u00f3n crea un blob cifrado escondido dentro de un archivo .PNG”, dijo Kaspersky. “Esta imagen debe cargarse en un sitio de alojamiento de im\u00e1genes”.<\/p>\n Los cargadores se han vuelto cada vez m\u00e1s populares por su capacidad para actuar como un servicio de entrega de malware que puede ser utilizado por varios actores de amenazas para obtener acceso inicial a las redes para realizar ataques de ransomware, robo de datos y otras actividades cibern\u00e9ticas maliciosas.<\/p>\n Esto incluye jugadores nuevos y establecidos, como Bumblebee, CustomerLoader y GuLoader, que se han utilizado para distribuir una variedad de software malicioso. Curiosamente, todas las cargas \u00fatiles descargadas por CustomerLoader son artefactos dotRunpeX que, a su vez, implementan el malware de etapa final.<\/p>\n “Es muy probable que CustomerLoader est\u00e9 asociado con un cargador como servicio y sea utilizado por m\u00faltiples actores de amenazas”, Sekoia.io dicho<\/a>. “Es posible que CustomerLoader sea una nueva etapa agregada antes de la ejecuci\u00f3n del inyector dotRunpeX por parte de su desarrollador”.<\/p>\n Bumblebee, por otro lado, resurgi\u00f3 despu\u00e9s de una pausa de dos meses hacia fines de agosto de 2023 en una nueva campa\u00f1a de distribuci\u00f3n que emple\u00f3 servidores Web Distributed Authoring and Versioning (WebDAV) para difundir el cargador, una t\u00e1ctica previamente adoptada en Ataques IcedID<\/a>.<\/p>\n “En este esfuerzo, los actores de amenazas utilizaron correos electr\u00f3nicos no deseados maliciosos para distribuir accesos directos de Windows (.LNK) y archivos comprimidos (.ZIP) que contienen archivos .LNK”, Intel 471 dicho<\/a>. “Cuando los activa el usuario, estos archivos LNK ejecutan un conjunto predeterminado de comandos dise\u00f1ados para descargar el malware Bumblebee alojado en servidores WebDAV”.<\/p>\n El cargador es una variante actualizada que ha pasado del uso del protocolo WebSocket a TCP para las comunicaciones del servidor de comando y control (C2), as\u00ed como de una lista codificada de servidores C2 a un algoritmo de generaci\u00f3n de dominio (DGA) que tiene como objetivo hacerlo resistente frente a la eliminaci\u00f3n de dominios.<\/p>\n En lo que es una se\u00f1al de una econom\u00eda del cibercrimen en proceso de maduraci\u00f3n, los actores de amenazas que antes se supon\u00eda que eran distintos se han asociado con otros grupos, como se evidencia en el caso de una “alianza oscura” entre GuLoader y Remcos RAT.<\/p>\n Aunque aparentemente se anuncia como software leg\u00edtimo, un an\u00e1lisis reciente de Check Point descubri\u00f3 el uso de GuLoader para distribuir predominantemente Remcos RAT, incluso cuando el primero ahora se vende como un cifrador con un nuevo nombre llamado TheProtect que hace que su carga \u00fatil sea totalmente indetectable por el software de seguridad. .<\/p>\n Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de pr\u00f3xima generaci\u00f3n<\/p>\n <\/a><\/p>\n \u00bfListo para afrontar nuevos desaf\u00edos de ciberseguridad impulsados \u200b\u200bpor la IA? \u00danase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.<\/p>\n Potencia tus habilidades<\/a><\/section>\n “Un individuo que opera bajo el alias EMIN\u044dM administra los sitios web BreakingSecurity y VgoStore que venden abiertamente Remcos y GuLoader”, la empresa de ciberseguridad dicho<\/a>. <\/p>\n “Las personas detr\u00e1s de estos servicios est\u00e1n profundamente entrelazadas con la comunidad cibercriminal, aprovechando sus plataformas para facilitar actividades ilegales y beneficiarse de la venta de herramientas cargadas de malware”.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/Ciberdelincuentes-utilizan-el-nuevo-cargador-de-malware-ASMCrypt-para-pasar.jpg\")
<\/a><\/center><\/section>\n