Las autoridades policiales han anunciado que rastrearon a los clientes del malware Smokeloader y detuvieron al menos a cinco personas.
“En una serie coordinada de acciones, los clientes de la botnet de plazo por instalación de Smokeloader, operado por el actor conocido como ‘Superstar’, enfrentaron consecuencias como resolución, búsquedas en la casa, órdenes de arresto o ‘golpes y charlas'”, dijo Europol en un comunicado.
Se alega que Superstar ha ejecutado un servicio de plazo por instalación que permitió a sus clientes obtener comunicación no facultado a las máquinas de víctimas, utilizando el cargador como un conducto para implementar cargas enseres de la próxima etapa de su selección.
Según la Agencia Europea de Aplicación de la Ley, el comunicación que ofrece el Botnet se utilizó para diversos fines, como el keylogging, el comunicación a la cámara web, la implementación de ransomware y la minería de criptomonedas.
La última movimiento, parte de un entrenamiento coordinado en curso llamado Operation Endgame, que condujo al desmantelamiento de la infraestructura en serie asociada con múltiples operaciones de cargadores de malware como ICEDID, SystemBC, Pikabot, Smokeloader, Bumblebee y TrickBot el año pasado.
Canadá, la República Checa, Dinamarca, Francia, Alemania, los Países Bajos y los Estados Unidos participaron en el esfuerzo de seguimiento que pretende centrarse en el “flanco de la demanda” del ecosistema del delito cibernético.
Las autoridades, según Europol, rastrearon a los clientes registrados en una pulvínulo de datos que fue incautada anteriormente, vinculando sus personajes en serie con personas de la vida verdadero y los llamaron para interrogarlos. Se cree que un número no especificado de sospechosos optó por cooperar y examinar sus dispositivos personales para compilar evidencia digital.
“Varios sospechosos revenden los servicios comprados a Smokeloader en un traumatizado, agregando así una capa adicional de interés a la investigación”, dijo Europol. “Algunos de los sospechosos habían asumido que ya no estaban en el radar de la policía, solo para entrar a la dura comprensión de que todavía estaban siendo atacados”.
Los cargadores de malware vienen en diferentes formas
El explicación se produce cuando Symantec, propiedad de Broadcom, reveló detalles de una campaña de phishing que emplea el formato de archivo Windows ScreenSaver (SCR) para distribuir un cargador de malware basado en Delphi llamado Modiloader (además conocido como DBATLoader y Natsoloader) en las máquinas de las víctimas.
Incluso coincide con una campaña web evasiva que engaña a los usuarios en la ejecución de archivos de Installer de Windows (MSI) sagaz para implementar otro malware del cargador denominado Legion Loader.
“Esta campaña utiliza un método llamado ‘Pastejacking’ o ‘secuestro de portapalones’ porque los espectadores se les indica que pegaría contenido en una ventana de ejecución”, dijo Palo Stop Networks Unit 42, y agregó que aprovecha varias estrategias de tubos para evitar la detección a través de páginas de Captcha y disfrazando las páginas de descarga de malware como sitios de blog.
Las campañas de phishing además han sido un transporte de entrega para KOI Loader, que luego se usa para descargar y ejecutar un robador de información llamado Koi Stealer como parte de una secuencia de infección en varias etapas.
“La utilización de capacidades anti-VM por malware como Koi Loader y Koi Stealer destaca la capacidad de las amenazas modernas para evitar el disección y la detección por parte de analistas, investigadores y sandboxes”, dijo Esentire en un referencia publicado el mes pasado.
Y eso no es todo. Los últimos meses han sido testigos una vez más el regreso de Gootloader (además conocido como SlowPour), que se está extendiendo a través de resultados de búsqueda patrocinados en Google, una técnica instinto por primera vez a principios de noviembre de 2024.
El ataque se dirige a los usuarios que buscan “plantilla de acuerdo de divulgación” en Google para informar anuncios falsos que, cuando se hacen clic, se redirigen a un sitio (“LawLiner (.) Com”) donde se les pide que ingresen sus direcciones de correo electrónico para percibir el documento.
“Poco posteriormente de que ingresen su correo electrónico, recibirán un correo electrónico del abogado@skhm (.) Org, con un enlace a su documento de Word solicitado (DOCX)”, según un investigador de seguridad que recibe el nombre de Gootloader y ha monitoreado de cerca al cargador de malware durante varios abriles.
“Si el becario pasó todas sus puertas, descargará un archivo JavaScript con cremallera. Cuando el becario desabrode y ejecute el archivo JavaScript, se produce el mismo comportamiento Gootloader”.
Incluso manchado es un descargador de JavaScript conocido como FakeUpdates (además conocido como Socgholish) que generalmente se propaga a través de tácticas de ingeniería social que engañan a los usuarios para instalar el malware disfrazando como una puesta al día legítima para navegadores web como Google Chrome.
“Los atacantes distribuyen malware utilizando posibles comprometidos, inyectando JavaScript sagaz en sitios vulnerables a hosts de huellas digitales, realizan verificaciones de elegibilidad y muestran páginas de puesta al día falsas”, dijo Google. “El malware se entrega comúnmente a través de descargas de transmisión.
La vía de ataque de puesta al día del navegador imitado además se ha observado distribuir otras dos familias de malware JavaScript llamadas FakesMuggles, que se vehemencia así por el uso de contrabando HTML para entregar cargas enseres de la próxima etapa, como NetSupport Manager, y Faketreff, que se comunica con un servidor remoto a una carga útil adicional como Darkgate y envía información básica de host del host.
