Se ha observado que los actores de amenaza detrás del malware del socio de malware aprovechan los sistemas de distribución de tráfico (TDS) como Parrot TDS y Keitaro TDS para filtrar y redirigir a los usuarios desprevenidos a contenido incompleto.
“El núcleo de su operación es un maniquí sofisticado de malware como servicio (MAAS), donde los sistemas infectados se venden como puntos de comunicación iniciales a otras organizaciones cibercriminales”, dijo Silent Push en un exploración.
Socgholish, todavía llamado FakeUpdates, es un malware del cargador JavaScript que se distribuye a través de sitios web comprometidos al disfrazarse como actualizaciones engañosas para navegadores web como Google Chrome o Mozilla Firefox, así como otros software como Adobe Flash Player o Microsoft Teams. Se atribuye a un actor de amenaza llamado TA569, que todavía se rastrea como preludio de oro, tempestad de mostaza, púrpura Vallhund y UNC1543.
Las cadenas de ataque implican la implementación de Socgholish para establecer el comunicación original y el corredor que comprometió el comunicación del sistema a una clientela diversa, incluido Evil Corp (todavía conocido como Dev-0243), Lockbit, Didex y Raspberry Robin (todavía conocido como Roshtyak). Curiosamente, las campañas recientes todavía han diligente Raspberry Robin como un vector de distribución para Socgholish.
“Las infecciones sociales generalmente se originan en sitios web comprometidos que se han infectado de múltiples maneras diferentes”, dijo Silent Push. “Las infecciones del sitio web pueden involucrar inyecciones directas, donde la entrega de carga útil del socio inyecta JS cargada directamente desde una página web infectada o mediante una traducción de la inyección directa que utiliza un archivo JS intermedio para cargar la inyección relacionada”.
Encima de redirigir a los dominios sociales a través de sitios web comprometidos, otra fuente primaria de tráfico implica el uso de TDSE de terceros como TDS de Parrot y Keitaro TDS para dirigir el tráfico web a sitios web específicos o en páginas de destino a posteriori de realizar huellas dactilares extensas del visitante del sitio y determinar si son intereses basados en ciertos criterios predefinidos.
Keitaro TDS ha estado involucrado durante mucho tiempo en la actividad de amenazas que van más allá de la malvertición y las estafas para ofrecer malware más sofisticado, incluidos kits de exploits, cargadores, ransomware y operaciones de influencia rusa. El año pasado, InfloBlox reveló cómo Socgholish, un socio de Vextrio, usó Keitaro para redirigir a las víctimas a los TDSE de Vextrio.
“Conveniente a que Keitaro todavía tiene muchas aplicaciones legítimas, con frecuencia es difícil o ficticio simplemente cercar el tráfico a través del servicio sin producir falsos positivos excesivos, aunque las organizaciones pueden considerar esto en sus propias políticas”, señaló Pruebepoint en 2019.
Se cree que Keitaro TDS está conectado a TA2726, que ha funcionado como proveedor de tráfico tanto para Socgholish como para TA2727 al comprometer sitios web e inyectar un enlace de Keitaro TDS, y luego venderlo a sus clientes.
“El entorno intermedio C2 (comando y control) genera dinámicamente las cargas avíos que las víctimas se descargan en tiempo de ejecución”, señaló Silent Push.
“Es esencial tener en cuenta que a través del entorno de ejecución, desde la inyección original de Socgholish hasta la ejecución en el dispositivo del implante de Windows, todo el proceso es continuamente rastreado por el entorno C2 de Socgholish. Si, en cualquier momento, el entorno determina que un víctima legado no es” legal “, detendrá la porción de una carga de cuota”.
La compañía de seguridad cibernética todavía ha evaluado que posiblemente hay ex miembros involucrados en Dridex, Raspberry Robin y Socgholish, dada la naturaleza superpuesta de las campañas observadas.
El progreso se produce cuando ZScaler detalló una traducción actualizada de Raspberry Robin que presenta métodos de ofuscación mejorados, cambios en su proceso de comunicación de red e incrusta apuntar a los dominios Tor C2 corruptos intencionalmente, señalando esfuerzos continuos para evitar la detección y obstaculizar los esfuerzos de ingeniería inversa.
“El operación de enigmático de red ha cambiado de AES (modo CTR) a Chacha-20”, dijo la compañía. “Raspberry Robin ha asociado una nueva exploit de subida de privilegios locales (LPE) (CVE-2024-38196) para obtener privilegios elevados en los sistemas específicos”.
La divulgación todavía sigue a una crecimiento de los ataques de Stealer Darkcloud que emplean correos electrónicos de phishing para entregar una traducción confusex protegida de la carga útil del robador escrita en Visual Basic 6, que se asta y ejecutan utilizando una técnica citación Process Hollowing.
“Darkcloud Stealer es distintivo de una crecimiento en los cibernéticos, aprovechando las técnicas de ofuscación y las intrincadas estructuras de carga útil para eludir los mecanismos de detección tradicionales”, dijo la dispositivo 42. “El cambio en los métodos de entrega observados en abril de 2025 indica una táctica de entretenimiento en crecimiento”.
