Los investigadores de seguridad cibernética han descubierto un nuevo conteador de contexto de cargador de malware con nombre en código que ha utilizado las pandillas de ransomware rusas para entregar herramientas posteriores a la explotación como Cobalt Strike y AdaptIXC2, y un troyano de camino remoto conocido como rata PureHVNC.
«El contexto se está utilizando como parte del conjunto de herramientas de un corredor de camino original (IAB) o por un afiliado de ransomware con lazos con los grupos de ransomware Lockbit, Black Pespunte y Qilin», dijo Silent Push en un estudio.
Apareciendo en tres versiones diferentes: .NET, PowerShell y JavaScript, la amenaza emergente se ha observado en una campaña dirigida a individuos en Ucrania utilizando señuelos de phishing basados en PDF y hacerse suceder por la Policía Franquista de Ucrania.
Vale la pena señalar que la lectura PowerShell del malware fue marcada previamente por Kaspersky como distribuida utilizando señuelos relacionados con Deepseek para engañar a los usuarios para que lo instalaran.
Los ataques, según el proveedor de ciberseguridad ruso, llevaron a la implementación de un implante llamado Browservenom que puede reconfigurar todas las instancias de navegación para forzar el tráfico a través de un proxy controlado por los actores de amenaza, permitiendo a los atacantes manipular el tráfico de la red y resumir datos.
La investigación de Silent Push descubrió que la lectura JavaScript es la implementación más desarrollada del cargador, que ofrece seis métodos diferentes para la descarga de archivos, tres métodos diferentes para ejecutar varios binarios de malware y una función predefinida para identificar el dispositivo de una víctima basado en la información del dominio de Windows.
El malware incluso es capaz de resumir información del sistema, configurar la persistencia en el host creando una tarea programada que se hace suceder por una tarea de modernización de Google para el navegador web Chrome y conectarse a un servidor remoto para esperar más instrucciones.
Esto incluye la capacidad de descargar y ejecutar cargas aperos del instalador DLL y MSI usando rundll32.exe y msiexec.exe, transmitir metadatos del sistema y eliminar la tarea programada creada. Los seis métodos utilizados para descargar archivos implican el uso de Curl, PowerShell, msxml2.xmlhttp, winhttp.winhttprequest.5.1, bitsadmin y certutil.exe.
«Al usar lolbins como ‘certutil’ y ‘bitsadmin’, e implementando un magneto de encriptación de encriptación de comando ‘on the Fly’, los desarrolladores de CountLoader demuestran aquí una comprensión vanguardia del sistema operante de Windows y el explicación de malware», dijo Silent Push.
Un aspecto trascendente de CountLoader es su uso de la carpeta de música de la víctima como campo de puesta en espectáculo para el malware. El sabor .NET comparte cierto naturaleza de crossover cómodo con su contraparte de JavaScript, pero admite solo dos tipos diferentes de comandos (UpdateType.zip o UpdateType.exe), lo que indica una lectura pequeña y despojada.
CountLoader es compatible con una infraestructura que comprende más de 20 dominios únicos, con el malware que sirve como un conducto para Cobalt Strike, AdaptIXC2 y PureHVNC Rat, la última de las cuales es una proposición comercial de un actor de amenaza conocido como Purecoder. Vale la pena señalar que PureHVNC Rat es un predecesor de Purerat, que incluso se conoce como resolución.
Las recientes campañas que distribuyen PureHVNC RAT han aplicado la táctica de ingeniería social de ClickFix probada como vector de entrega, con víctimas atraídas a la página de phishing de ClickFix a través de ofertas de trabajo falsas, por punto de control. El troyano se despliega mediante un cargador a cojín de óxido.
«El atacante atrajo a la víctima a través de anuncios de trabajo falsos, permitiendo al atacante ejecutar el código de PowerShell pillo a través de la técnica de phishing de ClickFix», dijo la compañía de seguridad cibernética, que describe a Purecoder como utilizando un conjunto circulante de cuentas GitHub para meter archivos que respaldan la funcionalidad de Purerat.
El estudio de los compromisos de GitHub ha revelado que la actividad se llevó a lengua desde la zona horaria UTC+03: 00, que corresponde a muchos países, incluida Rusia, entre otros.
El explicación se produce cuando el Equipo de Investigaciones de Doma -Domaols ha descubierto la naturaleza interconectada del panorama de ransomware ruso, identificando los movimientos de los actores de amenazas entre los grupos y el uso de herramientas como Anydesk y amparo rápida, lo que sugiere superposiciones operativas.
«La honradez de la marca entre estos operadores es débil, y el renta humano parece ser el activo principal, en emplazamiento de cepas de malware específicas», dijo Domainteols. «Los operadores se adaptan a las condiciones del mercado, la reorganización en respuesta a los derribos y las relaciones de confianza son críticos. Estas personas elegirán trabajar con personas que conocen, independientemente del nombre de la ordenamiento».
