Los investigadores de ciberseguridad han expuesto a un actor de amenaza previamente desconocido conocido como Curse de agua que se cimiento en repositorios de GitHub armado para entregar malware en varias etapas.
«El malware permite la exfiltración de datos (incluidas las credenciales, los datos del navegador y los tokens de sesión), el entrada remoto y la persistencia a holgado plazo en los sistemas infectados», dijeron tendencia a los micro investigadores Jovit Samaniego, Aira Marcelo, Mohamed Fahmy y Gabriel Nicoleta en un observación publicado esta semana.
La campaña «amplia y sostenida», visitada por primera vez el mes pasado, estableció repositorios que ofrecen utilidades de pruebas de penetración aparentemente inocuas, pero albergados internamente de sus archivos de configuración de Proyectos de Visual Studio, cargas enseres maliciosas, como SMTP, Bomber y Sakura-Rat.
El Atarazana de Water Curse incorpora una amplia tonalidad de herramientas e lenguajes de programación, lo que subraya sus capacidades de expansión interfuncional para dirigirse a la dependencia de suministro con «robadores de información orientados al desarrollador que difuminan la fila entre las herramientas del equipo rojo y la distribución de malware activo».
«Tras la ejecución, las cargas enseres maliciosas iniciaron complejas cadenas de infección de etapas múltiples que utilizan scripts ofuscados escritos en Visual Basic Script (VBS) y PowerShell», dijeron los investigadores. «Estos scripts descargaron archivos cifrados, extraían aplicaciones basadas en electrones y realizaron un amplio registro del sistema».
Los ataques todavía se caracterizan por el uso de técnicas anti-fondos, métodos de subida de privilegios y mecanismos de persistencia para nutrir una posición a holgado plazo en los huéspedes afectados. Asimismo se emplean los scripts de PowerShell para debilitar las defensas del huésped e inhibir la recuperación del sistema.
Water Curse ha sido descrita como un actor de amenaza de motivación financiera que está impulsado por el robo de credenciales, el secuestro de sesiones y la reventa del entrada ilícito. Hasta 76 cuentas de Github se han vinculado a la campaña. Hay evidencia que sugiere que la actividad relacionada puede tener estado en curso hasta marzo de 2023.
El surgimiento de la maldición del agua es el postrero ejemplo de cómo los actores de amenaza están abusando de la confianza asociada con plataformas legítimas como GitHub como canal de entrega para ataques de la dependencia de suministro de software de malware y marco.
«Sus repositorios incluyen malware, utilidades de distracción, trucos de juegos, AIMBots, herramientas de billetera de criptomonedas, raspadores de osint, bots de spam y robadores de credenciales», dijo Trend Micro. «Esto refleja una organización de orientación múltiple que combina el delito cibernético con monetización oportunista».
«Su infraestructura y comportamiento indican un enfoque en el sigilo, la automatización y la escalabilidad, con exfiltración activa a través de Telegram y servicios públicos de intercambio de archivos».
La divulgación se produce cuando se han observado múltiples campañas aprovechando la organización de ClickFix prevalente para implementar varias familias de malware como Asyncrat, Deerstealer (a través de un cargador llamado Hijack Loader), Filch Stealer, Lightperlgirl y Sectoprat (todavía a través de Hojack Loader).
Asyncrat es uno de los muchos troyanos de entrada remoto (ratas) fácilmente disponibles que los actores de amenaza no identificados han utilizado a miles de organizaciones que abarcan múltiples sectores desde principios de 2024. Algunos aspectos de la campaña fueron documentados por ForcePoint en agosto de 2024 y enero de 2025.
«Esta artesanía permite que el malware elude las defensas perimetrales tradicionales, particularmente mediante el uso de los túneles temporales de Cloudflare para servir cargas enseres de una infraestructura aparentemente legítima», dijo Halcyon. «Estos túneles proporcionan a los atacantes subdominios efímeros y no registrados que parecen confiables para los controles perimetrales, lo que dificulta el retiro o la directorio negra».
«Oportuno a que la infraestructura se tournée dinámicamente a través de servicios legítimos, los defensores enfrentan desafíos para distinguir el uso desconfiado de los flujos de trabajo autorizados de DevOps o de mantenimiento de TI. Esta táctica permite a los actores de amenaza entregar cargas enseres sin encomendar en servidores comprometidos o alojamiento a prueba de balas, aumentando tanto la escalera como el estallido de la campaña».
Los hallazgos todavía siguen el descubrimiento de una campaña maliciosa en curso que ha dirigido a varias organizaciones europeas ubicadas en España, Portugal, Italia, Francia, Bélgica y los Países Bajos con señuelos de phishing con temática de facturas para entregar una rata Sorillus Rat (todavía conocida como Ratty Rat).
Las campañas anteriores que distribuyen el malware han señalado a los profesionales de contabilidad e impuestos utilizando señuelos de la revelación de impuestos, algunas de las cuales han laborioso las técnicas de contrabando HTML para ocultar las cargas de enseres maliciosas.
La dependencia de ataque detallada por Orange CyberDefense emplea correos electrónicos de phishing similares que tienen como objetivo engañar a los destinatarios para que la tolerancia de los archivos adjuntos PDF que contengan un enlace OneDrive que apunta a un archivo PDF alojado directamente en el servicio de almacenamiento en la nubarrón mientras le pide al afortunado que haga clic en un yema de «Desplegar el documento».
Hacerlo redirige a la víctima a un servidor web desconfiado que actúa como un sistema de distribución de tráfico (TDS) para evaluar la solicitud entrante y determinar si necesitan avanzar más a la sucesivo etapa de la infección. Si la máquina de la víctima cumple con los criterios necesarios, se muestran un PDF bienhechor, mientras que un archivo JAR se descarga sigilosamente para soltar y ejecutar Sorillus Rat.
Una rata basada en Java que surgió por primera vez en 2019, Sorillus es un malware multiplataforma que puede cosechar información confidencial, descargar/cargar archivos, tomar capturas de pantalla, registrar audio, registro de teclas, ejecutar comandos arbitrarios e incluso desinstalarlo. Siquiera ayuda que numerosas versiones accesorias del troyano estén disponibles en fila.
Se evalúa que los ataques son parte de una campaña más amplia que se ha observado que entrega Sambaspy a los usuarios en Italia. Sambaspy, por ciberdefensa naranja, pertenece a la comunidad de malware Sorillus.
«La operación muestra una combinación estratégica de servicios legítimos, como OneDrive, Mediafire y plataformas de túneles como Ngrok y Localtonet, para eludir la detección», dijo la compañía de seguridad cibernética. «El uso trillado de portugués brasileño en las cargas enseres respalda una probable atribución para los actores de amenaza de deje brasileña».
