Las autoridades policiales han anunciado que rastrearon a los clientes del malware Smokeloader y detuvieron al menos a cinco personas.
«En una serie coordinada de acciones, los clientes de la botnet de cuota por instalación de Smokeloader, operado por el actor conocido como ‘Superstar’, enfrentaron consecuencias como brío, búsquedas en la casa, órdenes de arresto o ‘golpes y charlas'», dijo Europol en un comunicado.
Se alega que Superstar ha ejecutado un servicio de cuota por instalación que permitió a sus clientes obtener acercamiento no competente a las máquinas de víctimas, utilizando el cargador como un conducto para implementar cargas bártulos de la próxima etapa de su comicios.
Según la Agencia Europea de Aplicación de la Ley, el acercamiento que ofrece el Botnet se utilizó para diversos fines, como el keylogging, el acercamiento a la cámara web, la implementación de ransomware y la minería de criptomonedas.
La última obra, parte de un control coordinado en curso llamado Operation Endgame, que condujo al desmantelamiento de la infraestructura en hilera asociada con múltiples operaciones de cargadores de malware como ICEDID, SystemBC, Pikabot, Smokeloader, Bumblebee y TrickBot el año pasado.
Canadá, la República Checa, Dinamarca, Francia, Alemania, los Países Bajos y los Estados Unidos participaron en el esfuerzo de seguimiento que pretende centrarse en el «banda de la demanda» del ecosistema del delito cibernético.
Las autoridades, según Europol, rastrearon a los clientes registrados en una colchoneta de datos que fue incautada anteriormente, vinculando sus personajes en hilera con personas de la vida existente y los llamaron para interrogarlos. Se cree que un número no especificado de sospechosos optó por cooperar y examinar sus dispositivos personales para compendiar evidencia digital.
«Varios sospechosos revenden los servicios comprados a Smokeloader en un traumatizado, agregando así una capa adicional de interés a la investigación», dijo Europol. «Algunos de los sospechosos habían asumido que ya no estaban en el radar de la policía, solo para obtener a la dura comprensión de que todavía estaban siendo atacados».
Los cargadores de malware vienen en diferentes formas
El crecimiento se produce cuando Symantec, propiedad de Broadcom, reveló detalles de una campaña de phishing que emplea el formato de archivo Windows ScreenSaver (SCR) para distribuir un cargador de malware basado en Delphi llamado Modiloader (todavía conocido como DBATLoader y Natsoloader) en las máquinas de las víctimas.
Igualmente coincide con una campaña web evasiva que engaña a los usuarios en la ejecución de archivos de Installer de Windows (MSI) pillo para implementar otro malware del cargador denominado Legion Loader.
«Esta campaña utiliza un método llamado ‘Pastejacking’ o ‘secuestro de portapalones’ porque los espectadores se les indica que pegaría contenido en una ventana de ejecución», dijo Palo Parada Networks Unit 42, y agregó que aprovecha varias estrategias de tubos para eludir la detección a través de páginas de Captcha y disfrazando las páginas de descarga de malware como sitios de blog.
Las campañas de phishing todavía han sido un transporte de entrega para KOI Loader, que luego se usa para descargar y ejecutar un robador de información llamado Koi Stealer como parte de una secuencia de infección en varias etapas.
«La utilización de capacidades anti-VM por malware como Koi Loader y Koi Stealer destaca la capacidad de las amenazas modernas para eludir el examen y la detección por parte de analistas, investigadores y sandboxes», dijo Esentire en un referencia publicado el mes pasado.
Y eso no es todo. Los últimos meses han sido testigos una vez más el regreso de Gootloader (todavía conocido como SlowPour), que se está extendiendo a través de resultados de búsqueda patrocinados en Google, una técnica panorama por primera vez a principios de noviembre de 2024.
El ataque se dirige a los usuarios que buscan «plantilla de acuerdo de divulgación» en Google para editar anuncios falsos que, cuando se hacen clic, se redirigen a un sitio («LawLiner (.) Com») donde se les pide que ingresen sus direcciones de correo electrónico para admitir el documento.
«Poco posteriormente de que ingresen su correo electrónico, recibirán un correo electrónico del abogado@skhm (.) Org, con un enlace a su documento de Word solicitado (DOCX)», según un investigador de seguridad que recibe el nombre de Gootloader y ha monitoreado de cerca al cargador de malware durante varios primaveras.
«Si el sucesor pasó todas sus puertas, descargará un archivo JavaScript con cremallera. Cuando el sucesor desabrode y ejecute el archivo JavaScript, se produce el mismo comportamiento Gootloader».
Igualmente manchado es un descargador de JavaScript conocido como FakeUpdates (todavía conocido como Socgholish) que generalmente se propaga a través de tácticas de ingeniería social que engañan a los usuarios para instalar el malware disfrazando como una modernización legítima para navegadores web como Google Chrome.
«Los atacantes distribuyen malware utilizando fortuna comprometidos, inyectando JavaScript pillo en sitios vulnerables a hosts de huellas digitales, realizan verificaciones de elegibilidad y muestran páginas de modernización falsas», dijo Google. «El malware se entrega comúnmente a través de descargas de transmisión.
La vía de ataque de modernización del navegador ficticio todavía se ha observado distribuir otras dos familias de malware JavaScript llamadas FakesMuggles, que se pasión así por el uso de contrabando HTML para entregar cargas bártulos de la próxima etapa, como NetSupport Manager, y Faketreff, que se comunica con un servidor remoto a una carga útil adicional como Darkgate y envía información básica de host del host.
