Los investigadores de ciberseguridad advierten una nueva campaña que aprovecha las versiones descifradas del software como un señuelo para distribuir robadores de información como Lumma y ACR Stealer.
El Centro de Inteligencia de Seguridad de AhnLab (ASEC) dijo que ha observado un aumento en el bombeo de distribución de ACR Stealer desde enero de 2025.
Un aspecto importante del malware del robador es el uso de una técnica citación resolución de Drop Drop para extraer el servidor vivo de comando y control (C2). Esto incluye encargar en servicios legítimos como Steam, Telegram’s Telegraph, Google Forms y Google Slides.
“Los actores de amenaza ingresan al dominio C2 vivo en la codificación Base64 en una página específica”, dijo ASEC. “El malware accede a esta página, analiza la condena y obtiene la dirección del dominio C2 vivo para realizar comportamientos maliciosos”.
ACR Stealer, previamente distribuido a través de malware del cargador de secuestro, es capaz de cosechar una amplia matiz de información de sistemas comprometidos, incluidos archivos, datos del navegador web y extensiones de billetera de criptomonedas.
El crecimiento se produce cuando ASEC reveló otra campaña que usa archivos con la extensión “MSC”, que puede ser ejecutada por la Consola de oficina de Microsoft (MMC), para entregar el malware Rhadamanthys Stealer.
“Hay dos tipos de malware MSC: uno explota la vulnerabilidad de APDS.DLL (CVE-2024-43572), y el otro ejecuta el comando ‘Comando’ utilizando el Task-Taskpad de consola”, dijo la compañía surcoreana.
“El archivo MSC está disfrazado de un documento MS Word”. Cuando se hace clic en el pulsador ‘Brindar’, descarga y ejecuta un script PowerShell desde una fuente externa. El script de PowerShell descargado contiene un archivo exe (Rhadamanthys) “.
CVE-2024-43572, además llamado Grimresource, fue documentado por primera vez por los laboratorios de seguridad elásticos en junio de 2024 que fue explotado por actores maliciosos como un día cero. Fue parcheado por Microsoft en octubre de 2024.
Las campañas de malware además se han observado explotando plataformas de soporte de chat como Zendesk, disfrazándose de los clientes para engañar a los agentes de soporte desprevenidos para que descarguen un robador llamado Zhong Stealer.
Según un mensaje fresco publicado por Hudson Rock, más de 30,000,000 de computadoras han sido infectadas por robadores de información en los “últimos abriles”, lo que lleva al robo de credenciales corporativas y cookies de sesiones que luego podrían venderse por cibercriminales en foros subterráneos a otros actores con fines de interés.
Los compradores podrían componer el paso que brindan estas credenciales para organizar las acciones posteriores a la explotación, lo que lleva a riesgos severos. Estos desarrollos sirven para resaltar el papel desempeñado por Stealer Malware como un vector de paso original que proporciona un punto de apoyo a entornos corporativos sensibles.
“Por tan solo $ 10 por registro (computadora), los ciberdelincuentes pueden comprar datos robados de empleados que trabajan en sectores de defensa y marcial clasificados”, dijo Hudson Rock. “La inteligencia de InfoTealer no se comercio solo de detectar quién está infectado, se comercio de comprender la red completa de credenciales comprometidas y riesgos de terceros”.
Durante el año pasado, los actores de amenazas además han estado aumentando los esfuerzos para difundir una variedad de familias de malware, incluidos los robadores y troyanos de paso remoto (ratas), a través de una técnica citación ClickFix que a menudo implica redirigir a los usuarios a páginas de comprobación de captcha falsas que les instruyen a copiar y ejecutar comandos nefastos de PowerShell.
Una de esas cargas bártulos descartadas es I2PRAT, que emplea la red de anonimato I2P para anonimizar su servidor C2 final.
“El malware es una amenaza avanzadilla compuesta de múltiples capas, cada una incorporando mecanismos sofisticados”, dijo Sekoia. “El uso de una red de anonimización complica el seguimiento y dificulta la identificación de la magnitud de la amenaza y se propaga en la naturaleza”.
