Los actores de amenaza están aprovechando los repositorios públicos de GitHub para organizar cargas aperos maliciosas y distribuirlos a través de Amadey como parte de una campaña observada en abril de 2025.
«Los operadores Maas (malware como servicio) utilizaron cuentas falsas de GitHub para penetrar cargas aperos, herramientas y complementos Amadey, probablemente como un intento de evitar el filtrado web y para simplificar su uso», dijeron los investigadores de Cisco Talos Chris Neal y Craig Jackson en un referencia publicado hoy.
La compañía de ciberseguridad dijo que los cadenas de ataque aprovechan un cargador de malware llamado Emmenhtal (igualmente conocido como Peaklight) para entregar a Amadey, que, por su parte, descarga varias cargas aperos personalizadas de repositorios públicos de Github operados por los actores de amenaza.
La actividad comparte similitudes tácticas con una campaña de phishing de correo electrónico que utilizó el plazo de facturas y los señuelos relacionados con la facturación para distribuir Smokeloader a través de Emmenhtal en febrero de 2025 en ataques dirigidos a entidades ucranianas.
Tanto Emmenhtal como Amadey funcionan como descargador para cargas aperos secundarias como robadores de información, aunque este zaguero igualmente se ha observado entregando ransomware como Lockbit 3.0 en el pasado.
Otra distinción crucial entre las dos familias de malware es que, a diferencia de Emmenhtal, Amadey puede compilar información del sistema y puede tumbarse en cuanto a características con una matriz de complementos DLL que permiten una funcionalidad específica, como robo de credenciales o captura de captura de pantalla.
El disección de Cisco Talos de la campaña de abril de 2025 ha descubierto tres cuentas de GitHub (Legendary99999, DFFE9EWF y MILIDMDDDS) que se utilizan para organizar complementos Amadey, cargas aperos y otros guiones de ataque malvado, que incluyen Lumma Staaler, Redline Stealer y Rhadamanthys Stealer. Desde entonces, las cuentas han sido retiradas por Github.
Se ha contrario que algunos de los archivos JavaScript presentes en los repositorios de GitHub son idénticos a los scripts Emmenthal empleados en la campaña Smokeloader, la principal diferencia es las cargas aperos descargadas. Específicamente, los archivos del cargador Emmenhtal en los repositorios sirven como vector de entrega para Amadey, Asyncrat y una copia legítima de Putty.exe.
Igualmente se descubre en los repositorios de GitHub un libreto de Python que probablemente representa una transformación de Emmenhtal, incorporando un comando de PowerShell integrado para descargar Amadey de una dirección IP codificada.
Se cree que las cuentas de GitHub utilizadas para organizar las cargas aperos son parte de una operación MAAS más ínclito que abusa de la plataforma de alojamiento de código de Microsoft para fines maliciosos.
La divulgación se produce cuando Trellix detalló una campaña de phishing que propaga a otro cargador de malware conocido como cargador de calamares en ataques cibernéticos dirigidos contra instituciones de servicios financieros en Hong Kong. Los artefactos adicionales desenterrados por el proveedor de seguridad sugieren que los ataques relacionados pueden estar en marcha en Singapur y Australia.
 |
| Cautiverio de ataque de cargador de calamares |
SquidLoader es una amenaza formidable correcto a la diversa escala de técnicas anti-análisis, anti-sandbox y anti-debug empaquetadas en ella, lo que le permite evitar la detección y obstaculizar los esfuerzos de investigación. Igualmente puede establecer la comunicación con un servidor remoto para mandar información sobre el host infectado e inyectar la carga útil de la próxima etapa.
«El cargador de calamares emplea una esclavitud de ataque que culminó con el despliegue de un vaivén de ataque de cobalto para el ataque y el control remoto», dijo el investigador de seguridad Charles Crofford. «Sus intrincadas técnicas anti-análisis, anti-sandbox y anti-fondos, unido con sus tasas de detección dispersas, representan una amenaza significativa para las organizaciones específicas».
Los hallazgos igualmente siguen el descubrimiento de una amplia escala de campañas de ingeniería social que están diseñadas para distribuir varias familias de malware –
- Los ataques probablemente realizados por un género motivado financieramente denominado UNC5952 que aprovechan los temas de hechura en los correos electrónicos para servir a los droppers maliciosos que conducen al despliegue de un descargador llamado Chainverb que, a su vez, ofrece el software de ataque remoto de CONNECTWISE
- Ataques que emplean señuelos relacionados con los impuestos para engañar a los destinatarios para que haga clic en un enlace que finalmente ofrece un instalador de captura de pantalla de conexión con conectas con el pretexto de divulgar un documento PDF
- Ataques que hacen uso de los temas de la Distribución del Seguro Social (SSA) de los Estados Unidos para cosechar credenciales de usuarios o instalar la lectura troyanizada de Connectwise Screenconnect, luego de qué víctimas reciben instrucciones de instalar y sincronizar la aplicación de enlace de teléfono de Microsoft para que posiblemente recopile mensajes de texto y códigos de autenticación de dos factores enviados al dispositivo móvil conectado
- Ataques que aprovechan un kit de phishing llamado logokit para permitir la monasterio de credenciales creando páginas de inicio de sesión parecidas y alojándolas en la infraestructura de Amazon Web Services (AWS) para evitar la detección, al tiempo que integran simultáneamente Cloudflare Turnstile Captcha VERIFICA
- Ataques que hacen uso de otro kit de phishing basado en frascos de Python personalizado para simplificar el robo de credenciales con un esfuerzo técnico leve
- Ataques con nombre en código Scanception que emplean códigos QR en los archivos adjuntos de correo electrónico de PDF a los usuarios directos a páginas de cosecha de credenciales imitando el portal de inicio de sesión de Microsoft
- Ataques que emplean la táctica de clickfix para entregar rata de cajiga de rhadamanthys y redes de apoyo
- Los ataques que utilizan ofrendas de encubrimiento como servicio (CAAS) como el simulación tecnológico y JS hacen clic en Cloaker para ocultar sitios web de phishing y maliciosos de escáneres de seguridad y muestran solo a las víctimas previstas como una forma de fugarse bajo el radar
- Ataques que aprovechan HTML y JavaScript para crear correos electrónicos maliciosos de aspecto realista que puedan prescindir las sospechas del adjudicatario y las herramientas de detección tradicionales
- Ataques dirigidos a proveedores de servicios B2B que utilizan archivos de imagen de gráficos vectoriales escalables (SVG) en correos electrónicos de phishing y que incusaron a JavaScript offuscar para simplificar las redirecciones a la infraestructura controlada por los atacantes utilizando la función Window.location.href una vez que se abren en una navegación web.
Según los datos compilados por Cofense, el uso de códigos QR representaron el 57% de las campañas con tácticas, técnicas y procedimientos (TTP) avanzados en 2024. Otros métodos notables incluyen el uso de archivos adjuntos de archivos protegidos con contraseña en correos electrónicos para obtener puertas de correo electrónico seguras (SEG).
«Al proteger la contraseña del archivo, los actores de amenaza evitan que los SEG y otros métodos escaneen su contenido y detecten lo que generalmente es un archivo claramente malvado», dijo el investigador de Cofense, Max Gannon.
