Los actores de amenaza están aprovechando los repositorios públicos de GitHub para organizar cargas bártulos maliciosas y distribuirlos a través de Amadey como parte de una campaña observada en abril de 2025.
“Los operadores Maas (malware como servicio) utilizaron cuentas falsas de GitHub para meter cargas bártulos, herramientas y complementos Amadey, probablemente como un intento de evitar el filtrado web y para proporcionar su uso”, dijeron los investigadores de Cisco Talos Chris Neal y Craig Jackson en un mensaje publicado hoy.
La compañía de ciberseguridad dijo que los cadenas de ataque aprovechan un cargador de malware llamado Emmenhtal (incluso conocido como Peaklight) para entregar a Amadey, que, por su parte, descarga varias cargas bártulos personalizadas de repositorios públicos de Github operados por los actores de amenaza.
La actividad comparte similitudes tácticas con una campaña de phishing de correo electrónico que utilizó el suscripción de facturas y los señuelos relacionados con la facturación para distribuir Smokeloader a través de Emmenhtal en febrero de 2025 en ataques dirigidos a entidades ucranianas.
Tanto Emmenhtal como Amadey funcionan como descargador para cargas bártulos secundarias como robadores de información, aunque este posterior incluso se ha observado entregando ransomware como Lockbit 3.0 en el pasado.
Otra distinción crucial entre las dos familias de malware es que, a diferencia de Emmenhtal, Amadey puede compilar información del sistema y puede tumbarse en cuanto a características con una matriz de complementos DLL que permiten una funcionalidad específica, como robo de credenciales o captura de captura de pantalla.
El observación de Cisco Talos de la campaña de abril de 2025 ha descubierto tres cuentas de GitHub (Legendary99999, DFFE9EWF y MILIDMDDDS) que se utilizan para organizar complementos Amadey, cargas bártulos y otros guiones de ataque sagaz, que incluyen Lumma Staaler, Redline Stealer y Rhadamanthys Stealer. Desde entonces, las cuentas han sido retiradas por Github.
Se ha contrario que algunos de los archivos JavaScript presentes en los repositorios de GitHub son idénticos a los scripts Emmenthal empleados en la campaña Smokeloader, la principal diferencia es las cargas bártulos descargadas. Específicamente, los archivos del cargador Emmenhtal en los repositorios sirven como vector de entrega para Amadey, Asyncrat y una copia legítima de Putty.exe.
Asimismo se descubre en los repositorios de GitHub un banderín de Python que probablemente representa una progreso de Emmenhtal, incorporando un comando de PowerShell integrado para descargar Amadey de una dirección IP codificada.
Se cree que las cuentas de GitHub utilizadas para organizar las cargas bártulos son parte de una operación MAAS más alto que abusa de la plataforma de alojamiento de código de Microsoft para fines maliciosos.
La divulgación se produce cuando Trellix detalló una campaña de phishing que propaga a otro cargador de malware conocido como cargador de calamares en ataques cibernéticos dirigidos contra instituciones de servicios financieros en Hong Kong. Los artefactos adicionales desenterrados por el proveedor de seguridad sugieren que los ataques relacionados pueden estar en marcha en Singapur y Australia.
 |
| Prisión de ataque de cargador de calamares |
SquidLoader es una amenaza formidable correcto a la diversa serie de técnicas anti-análisis, anti-sandbox y anti-debug empaquetadas en ella, lo que le permite sortear la detección y obstaculizar los esfuerzos de investigación. Asimismo puede establecer la comunicación con un servidor remoto para expedir información sobre el host infectado e inyectar la carga útil de la próxima etapa.
“El cargador de calamares emplea una cautiverio de ataque que culminó con el despliegue de un oscilación de ataque de cobalto para el llegada y el control remoto”, dijo el investigador de seguridad Charles Crofford. “Sus intrincadas técnicas anti-análisis, anti-sandbox y anti-fondos, próximo con sus tasas de detección dispersas, representan una amenaza significativa para las organizaciones específicas”.
Los hallazgos incluso siguen el descubrimiento de una amplia serie de campañas de ingeniería social que están diseñadas para distribuir varias familias de malware –
- Los ataques probablemente realizados por un camarilla motivado financieramente denominado UNC5952 que aprovechan los temas de cargo en los correos electrónicos para servir a los droppers maliciosos que conducen al despliegue de un descargador llamado Chainverb que, a su vez, ofrece el software de llegada remoto de CONNECTWISE
- Ataques que emplean señuelos relacionados con los impuestos para engañar a los destinatarios para que haga clic en un enlace que finalmente ofrece un instalador de captura de pantalla de conexión con conectas con el pretexto de divulgar un documento PDF
- Ataques que hacen uso de los temas de la Establecimiento del Seguro Social (SSA) de los Estados Unidos para cosechar credenciales de usuarios o instalar la traducción troyanizada de Connectwise Screenconnect, posteriormente de qué víctimas reciben instrucciones de instalar y sincronizar la aplicación de enlace de teléfono de Microsoft para que posiblemente recopile mensajes de texto y códigos de autenticación de dos factores enviados al dispositivo móvil conectado
- Ataques que aprovechan un kit de phishing llamado logokit para permitir la monasterio de credenciales creando páginas de inicio de sesión parecidas y alojándolas en la infraestructura de Amazon Web Services (AWS) para evitar la detección, al tiempo que integran simultáneamente Cloudflare Turnstile Captcha VERIFICA
- Ataques que hacen uso de otro kit de phishing basado en frascos de Python personalizado para proporcionar el robo de credenciales con un esfuerzo técnico insignificante
- Ataques con nombre en código Scanception que emplean códigos QR en los archivos adjuntos de correo electrónico de PDF a los usuarios directos a páginas de cosecha de credenciales imitando el portal de inicio de sesión de Microsoft
- Ataques que emplean la táctica de clickfix para entregar rata de quercus de rhadamanthys y redes de apoyo
- Los ataques que utilizan ofrendas de encubrimiento como servicio (CAAS) como el enredo tecnológico y JS hacen clic en Cloaker para ocultar sitios web de phishing y maliciosos de escáneres de seguridad y muestran solo a las víctimas previstas como una forma de explosionar bajo el radar
- Ataques que aprovechan HTML y JavaScript para crear correos electrónicos maliciosos de aspecto realista que puedan comerse las sospechas del beneficiario y las herramientas de detección tradicionales
- Ataques dirigidos a proveedores de servicios B2B que utilizan archivos de imagen de gráficos vectoriales escalables (SVG) en correos electrónicos de phishing y que incusaron a JavaScript offuscar para proporcionar las redirecciones a la infraestructura controlada por los atacantes utilizando la función Window.location.href una vez que se abren en una navegación web.
Según los datos compilados por Cofense, el uso de códigos QR representaron el 57% de las campañas con tácticas, técnicas y procedimientos (TTP) avanzados en 2024. Otros métodos notables incluyen el uso de archivos adjuntos de archivos protegidos con contraseña en correos electrónicos para obtener puertas de correo electrónico seguras (SEG).
“Al proteger la contraseña del archivo, los actores de amenaza evitan que los SEG y otros métodos escaneen su contenido y detecten lo que generalmente es un archivo claramente sagaz”, dijo el investigador de Cofense, Max Gannon.
