Los investigadores de ciberseguridad han arrojado luz sobre un robador de información basado en el óxido previamente indocumentado llamado Myth Stealer que se está propagando a través de sitios web de juegos fraudulentos.
“Tras la ejecución, el malware muestra una ventana falsa para parecer oficial mientras descifra y ejecutando el código ladino simultáneamente en el fondo”, dijeron los investigadores de seguridad de Trellix Niranjan Hegde, Vasantha Lakshmanan Ambasankar y Adarsh S en un estudio.
El robador, inicialmente comercializado en Telegram de forma gratuita bajo beta a fines de diciembre de 2024, ha pasado a un maniquí de malware como servicio (MAAS). Está equipado para robar contraseñas, cookies e información de enfoque forzoso de navegadores basados en Chromium y Gecko, como Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi y Mozilla Firefox.
Se ha incompatible que los operadores del malware mantienen una serie de canales de telegrama para anunciar la saldo de cuentas comprometidas y proporcionar testimonios de su servicio. Estos canales han sido apagados por Telegram.
La evidencia muestra que Myth Stealer se distribuye a través de sitios web falsos, incluido uno alojado en el blogger de Google, que ofrece varios videojuegos con el pretexto de probarlos. Vale la pena señalar que una página de blogger casi idéntica se ha utilizado para entregar otro malware de robador conocido como ageoptealer, según lo revelado por Flashpoint en abril de 2025.
Trellix dijo que incluso descubrió que el malware se distribuyó como una interpretación agrietada de un software de trampa de serie llamado DDRACE en un foro en columna, destacando las innumerables vehículos de distribución.
Independientemente del vector de camino original, el cargador descargado muestra una ventana de configuración falsa al legatario para engañarlos para que piense que se ejecuta una aplicación legítima. En el fondo, el cargador descifra y inicia el componente del robador.
En un archivo DLL de 64 bits, el robador intenta terminar los procesos de ejecución asociados con varios navegadores web ayer de robar los datos y exfiltrarlos a un servidor remoto o, en algunos casos, a un webhook de discordia.
“Incluso contiene técnicas anti-análisis, como la ofuscación de cadenas y las verificaciones del sistema utilizando nombres de archivo y nombres de legatario”, dijeron los investigadores. “Los autores de malware actualizan regularmente el código del robador para evitar la detección de AV e introducir funcionalidad adicional, como la capacidad de captura de pantalla y el secuestro de portapapeles”.
Myth Stealer no está solo cuando se comercio de usar señuelos de trucos para distribuir malware. La semana pasada, Palo Suspensión Networks Unit 42 arroja luz sobre otro malware de Windows denominado Blitz que se extiende a través de trucos de juegos traseros e instaladores agrietados para programas legítimos.
Propagado principalmente a través de un canal de telegrama controlado por el atacante, Blitz consta de dos etapas: un descargador responsable de una carga útil BOT, que está diseñada para registrar las pulsaciones de teclas, tomar capturas de pantalla, descargar/cargar archivos y inyectar código. Incluso viene equipado con una función de denegación de servicio (DOS) contra los servidores web y deja caer un minero XMRIG.
El truco trasero realiza verificaciones anti-sandbox ayer de recuperar la próxima etapa del malware, con el descargador solo en ejecución cuando la víctima inicia sesión nuevamente posteriormente de cerrar la sesión o un reinicio. El descargador incluso está configurado para ejecutar las mismas verificaciones anti-sandbox ayer de soltar la carga útil de BOT.
Lo trascendental de la sujeción de ataque es que las cargas aperos de mineros de criptomonedas Blitz Bot y XMR, contiguo con los componentes de su infraestructura de comando y control (C2), se alojan en un espacio para abrazar. Abrazar la cara ha bloqueado la cuenta de legatario posteriormente de la divulgación responsable.
A fines de abril de 2025, se estima que Blitz ha acumulado 289 infecciones en 26 países, dirigidas por Rusia, Ucrania, Bielorrusia y Kazajstán. El mes pasado, el actor de amenaza detrás de Blitz afirmó en su canal de telegrama que están colgando las botas posteriormente de que aparentemente descubrieron que el truco tenía un troyano incrustado. Incluso proporcionaron una utensilio de exterminio para borrar el malware de los sistemas de víctimas.
“La persona detrás del malware Blitz parece ser un orador ruso que usa el apodo SW1ZZX en las plataformas de redes sociales”, dijo la Pelotón 42. “Este cámara de malware es probablemente el desarrollador de Blitz”.
El progreso se produce cuando Cyfirma detalló un nuevo troyano de camino remoto basado en C#(rata) señal DuplexSpy Rat que viene con amplias capacidades para la vigilancia, la persistencia y el control del sistema. Fue publicado en Github en abril de 2025, alegando que está destinado a “demostración educativa y ética solamente”.
 |
Dependencia de infección de instigación |
“Establece la persistencia a través de la replicación de la carpeta de inicio y las modificaciones del registro de Windows mientras emplea la ejecución sin archivo y las técnicas de ascensión de privilegios para el sigilo”, dijo la compañía. “Las características secreto incluyen keylogging, captura de pantalla, cámara web/espionaje de audio, shell remotos y funciones anti-análisis”.
Encima de presentar la capacidad de reproducir de forma remota los sonidos de audio o sistema en la máquina de la víctima, DuplexSpy Rat incorpora un módulo de control de potencia que hace posible que el atacante ejecute remotamente comandos a nivel de sistema en el host comprometido, como mate, reinicio, clausura de sesión y sueño.
“(El malware) aplica una pantalla de asedio embustero al mostrar una imagen suministrada por el atacante (codificada en Base64) en la pantalla completa al deshabilitar la interacción del legatario”, agregó Cyfirma. “Evita el clausura a menos que se permita explícitamente, simulando un aviso de congelación o rescate del sistema para manipular o perturbar a la víctima”.
Los hallazgos incluso siguen un noticia de tecnologías positivas de que múltiples actores de amenazas, incluidos TA558, Blind Eagle, Aggah (incluso conocido como Hagga), Phaseshifters (incluso conocidos como Angry Likho, Sticky Werwolf y UaC-0050), UAC-0050 y PhantomControl, están utilizando una ofrenda de servicio UAC y Herramientas de OBBUTRO.
Las cadenas de ataque que usan crypters y herramientas han atacado a los Estados Unidos, Europa del Este (incluida Rusia) y América Latina. Una plataforma donde se vende el Crypter es NitrosoftWares (.) Com, que incluso ofrece varias herramientas, incluidas exploits, crypters, madereros y cortadores de criptomonedas, entre otros.
