Los investigadores de ciberseguridad han descubierto una traducción actualizada de un cargador de malware llamado cargador de secuestro que implementa nuevas características para eludir la detección y establecer la persistencia en los sistemas comprometidos.
«El cargador de secuestro lanzó un nuevo módulo que implementa la falsificación de la pila de llamadas para ocultar el origen de las llamadas de función (p. Ej., API y llamadas del sistema)», dijo el investigador de Zscaler Ameniclabz, Muhammed Irfan VA, en un examen. «El cargador de secuestro agregó un nuevo módulo para realizar verificaciones anti-VM para detectar entornos de examen de malware y cajas de arena».
El cargador de secuestro, descubierto por primera vez en 2023, ofrece la capacidad de entregar cargas bártulos de segunda etapa, como malware del robador de información. Además viene con una variedad de módulos para evitar el software de seguridad e inyectar código ladino. Hijack Loader es rastreado por la comunidad más amplia de ciberseguridad bajo los nombres Doiloader, Ghostpulse, Idat Loader y Shadowladder.
En octubre de 2024, Harfanglab y elastic Security Labs detallaron las campañas de cargadores de secuestro que aprovecharon los certificados legítimos de firma de código, así como la infame logística de ClickFix para distribuir el malware.
La última iteración del cargador viene con una serie de mejoras sobre su predecesor, la más sobresaliente es la complemento de la falsificación de la pila de llamadas como una táctica de despreocupación para ocultar el origen de las API y las llamadas del sistema, un método recientemente prohijado por otro cargador de malware conocido como Coffeeloader.
«Esta técnica utiliza una dependencia de punteros EBP para atravesar la pila y ocultar la presencia de una llamamiento maliciosa en la pila al reemplazar los marcos reales de la pila por los fabricados», dijo Zscaler.
Al igual que con las versiones anteriores, el malware del cargador de secuestro aprovecha la técnica de la puerta del Gloria para ejecutar Syscalls directos de 64 bits para la inyección de procesos. Otros cambios incluyen una revisión de la serie de procesos en serie de bloques para incluir «Avastsvc.exe», un componente del antivirus Avast, para retrasar la ejecución en cinco segundos.
El malware incluso incorpora dos nuevos módulos, a entender, antivm para detectar máquinas virtuales y Modtask para configurar la persistencia a través de tareas programadas.
Los resultados muestran que el cargador de secuestro continúa siendo mantenido activamente por sus operadores con la intención de complicar el examen y la detección.
Shelby Malware utiliza GitHub para comando y control
El crecimiento se produce cuando elastic Security Labs detalló una nueva grupo de malware denominada Shelby que utiliza GitHub para comando y control (C2), exfiltración de datos y control remoto. La actividad se está rastreando como Ref8685.
La dependencia de ataque implica el uso de un correo electrónico de phishing como punto de partida para distribuir un archivo ZIP que contiene un binario .NET que se usa para ejecutar un cargador DLL rastreado como ShelbyLoader («httpservice.dll») a través de la carga supletorio de DLL. Los mensajes de correo electrónico se entregaron a una firma de telecomunicaciones con sede en Iraq a través de un correo electrónico de phishing en gran medida dirigido enviado desde la ordenamiento específica.
Luego, el cargador inicia comunicaciones con GitHub para C2 para extraer un valencia específico de 48 bytes de un archivo llamado «License.txt» en el repositorio controlado por los atacantes. El valencia se usa para crear una secreto de descifrado AES y descifrar la carga útil principal de puerta trasera («httpapi.dll») y cargarla en la memoria sin dejar artefactos detectables en el disco.
«ShelbyLoader utiliza técnicas de detección de sandbox para identificar entornos virtualizados o monitoreados», dijo Elastic. «Una vez ejecutado, devuelve los resultados a C2. Estos resultados se empaquetan como archivos de registro, lo que detalla si cada método de detección identificó con éxito un entorno Sandbox».
La puerta trasera ShelByc2, por su parte, los comandos PARSE enumerados en otro archivo llamado «Command.txt» para descargar/cargar archivos de/a un repositorio de GitHub, cargar un binario .NET reflexivamente y ejecutar los comandos de PowerShell. Lo que es sobresaliente aquí es que la comunicación C2 ocurre a través de compromisos con el repositorio privado haciendo uso de un token de paso personal (PAT).
«La forma en que se configura el malware significa que cualquier persona con el PAT (token de paso personal) puede obtener comandos teóricamente enviados por el atacante y las futuro de comandos de paso de cualquier máquina víctima», dijo la compañía. «Esto se debe a que el token Pat está integrado en el binario y puede ser utilizado por cualquiera que lo obtenga».
Emmenhtal se extiende Smokeloader a través de archivos 7-ZIP
Los correos electrónicos de phishing con señuelos con temática de plazo incluso se han observado entregando un cargador de malware en el cargador EMMenhtal Loader (incluso conocido como Peaklight), que actúa como un conducto para implementar otro malware conocido como Smokeloader.
«Una técnica sobresaliente observada en esta muestra de Smokeloader es el uso de .NET Reactor, una utensilio comercial de protección de .NET utilizada para la ofuscación y el embalaje», dijo Gdata.
«Si acertadamente el Smokeloader ha utilizado históricamente a los empacadores como Themida, Enigma Protector y Crypters personalizados, el uso de reactores .NET se alinea con las tendencias observadas en otras familias de malware, particularmente los robadores y cargadores, adecuado a sus fuertes mecanismos de examen anti-análisis».
