el más reciente

― Advertisement ―

Relacionada

spot_img
HomeTecnologíaEl contexto amplía las operaciones de ransomware ruso con cargador de malware...

El contexto amplía las operaciones de ransomware ruso con cargador de malware múltiple

Los investigadores de seguridad cibernética han descubierto un nuevo conteador de contexto de cargador de malware con nombre en código que ha utilizado las pandillas de ransomware rusas para entregar herramientas posteriores a la explotación como Cobalt Strike y AdaptIXC2, y un troyano de ataque remoto conocido como rata PureHVNC.

“El contexto se está utilizando como parte del conjunto de herramientas de un corredor de ataque auténtico (IAB) o por un afiliado de ransomware con lazos con los grupos de ransomware Lockbit, Black Baste y Qilin”, dijo Silent Push en un disección.

Apareciendo en tres versiones diferentes: .NET, PowerShell y JavaScript, la amenaza emergente se ha observado en una campaña dirigida a individuos en Ucrania utilizando señuelos de phishing basados ​​en PDF y hacerse sobrevenir por la Policía Doméstico de Ucrania.

Vale la pena señalar que la lectura PowerShell del malware fue marcada previamente por Kaspersky como distribuida utilizando señuelos relacionados con Deepseek para engañar a los usuarios para que lo instalaran.

Los ataques, según el proveedor de ciberseguridad ruso, llevaron a la implementación de un implante llamado Browservenom que puede reconfigurar todas las instancias de navegación para forzar el tráfico a través de un proxy controlado por los actores de amenaza, permitiendo a los atacantes manipular el tráfico de la red y resumir datos.

La investigación de Silent Push descubrió que la lectura JavaScript es la implementación más desarrollada del cargador, que ofrece seis métodos diferentes para la descarga de archivos, tres métodos diferentes para ejecutar varios binarios de malware y una función predefinida para identificar el dispositivo de una víctima basado en la información del dominio de Windows.

Leer  Supercard X Android Malware permite fraude ATM sin contacto y POS a través de ataques de retransmisión NFC

El malware incluso es capaz de resumir información del sistema, configurar la persistencia en el host creando una tarea programada que se hace sobrevenir por una tarea de aggiornamento de Google para el navegador web Chrome y conectarse a un servidor remoto para esperar más instrucciones.

Esto incluye la capacidad de descargar y ejecutar cargas enseres del instalador DLL y MSI usando rundll32.exe y msiexec.exe, transmitir metadatos del sistema y eliminar la tarea programada creada. Los seis métodos utilizados para descargar archivos implican el uso de Curl, PowerShell, msxml2.xmlhttp, winhttp.winhttprequest.5.1, bitsadmin y certutil.exe.

“Al usar lolbins como ‘certutil’ y ‘bitsadmin’, e implementando un magneto de encriptación de encriptación de comando ‘on the Fly’, los desarrolladores de CountLoader demuestran aquí una comprensión avanzadilla del sistema activo de Windows y el crecimiento de malware”, dijo Silent Push.

Un aspecto extraordinario de CountLoader es su uso de la carpeta de música de la víctima como campo de puesta en terreno para el malware. El sabor .NET comparte cierto punto de crossover pragmático con su contraparte de JavaScript, pero admite solo dos tipos diferentes de comandos (UpdateType.zip o UpdateType.exe), lo que indica una lectura limitada y despojada.

CountLoader es compatible con una infraestructura que comprende más de 20 dominios únicos, con el malware que sirve como un conducto para Cobalt Strike, AdaptIXC2 y PureHVNC Rat, la última de las cuales es una ofrecimiento comercial de un actor de amenaza conocido como Purecoder. Vale la pena señalar que PureHVNC Rat es un predecesor de Purerat, que incluso se conoce como resolución.

Las recientes campañas que distribuyen PureHVNC RAT han explotado la táctica de ingeniería social de ClickFix probada como vector de entrega, con víctimas atraídas a la página de phishing de ClickFix a través de ofertas de trabajo falsas, por punto de control. El troyano se despliega mediante un cargador a cojín de óxido.

Leer  Zoom y xerox lanzan actualizaciones de seguridad críticas de fijación de privilegios de fijación y fallas de RCE

“El atacante atrajo a la víctima a través de anuncios de trabajo falsos, permitiendo al atacante ejecutar el código de PowerShell ladino a través de la técnica de phishing de ClickFix”, dijo la compañía de seguridad cibernética, que describe a Purecoder como utilizando un conjunto girante de cuentas GitHub para introducir archivos que respaldan la funcionalidad de Purerat.

El disección de los compromisos de GitHub ha revelado que la actividad se llevó a final desde la zona horaria UTC+03: 00, que corresponde a muchos países, incluida Rusia, entre otros.

El crecimiento se produce cuando el Equipo de Investigaciones de Doma -Domaols ha descubierto la naturaleza interconectada del panorama de ransomware ruso, identificando los movimientos de los actores de amenazas entre los grupos y el uso de herramientas como Anydesk y afluencia rápida, lo que sugiere superposiciones operativas.

“La fidelidad de la marca entre estos operadores es débil, y el caudal humano parece ser el activo principal, en empleo de cepas de malware específicas”, dijo Domainteols. “Los operadores se adaptan a las condiciones del mercado, la reorganización en respuesta a los derribos y las relaciones de confianza son críticos. Estas personas elegirán trabajar con personas que conocen, independientemente del nombre de la estructura”.

El más popular

spot_img