Търсене
Close this search box.

Новият ASMCrypt Malware Loader лети под радара

Киберпрестъпници продават нов софтуер за криптиране и зареждане, наречен ASMCrypt, който е описан като „развита версия“ на друг зловреден софтуер за зареждане, известен като DoubleFinger.

„Идеята на този тип зловреден софтуер е да зареди крайния полезен товар, без процесът на зареждане или самият полезен товар да бъдат открити от AV/EDR и т.н.“, казва Kaspersky в анализ, публикуван тази седмица.

DoubleFinger беше документиран за първи път от руската компания за киберсигурност, като подробно бяха описани веригите за заразяване, използващи зловредния софтуер за разпространение на крадец на криптовалути, наречен GreetingGhoul, сред жертви в Европа, САЩ и Латинска Америка.

ASMCrypt, след като бъде закупен и стартиран от клиентите, е проектиран да се свързва с вътрешна услуга през мрежата TOR, като използва твърдо кодирани идентификационни данни, като по този начин позволява на купувачите да изграждат полезен товар по свой избор за използване в кампаниите си.

„Приложението създава криптирано петно, скрито във файл .PNG“, казва Kaspersky. „Това изображение трябва да бъде качено на сайт за хостинг на изображения“.

Полезните товари стават все по-популярни заради способността им да действат като услуга за доставка на зловреден софтуер, която може да се използва от други заплахи за получаване на първоначален достъп до мрежи за провеждане на атаки с цел получаване на откуп, кражба на данни и други злонамерени кибернетични дейности.

Това включва нови и утвърдени играчи, като Bumblebee, CustomerLoader и GuLoader, които се използват за доставяне на различен зловреден софтуер. Интересно е, че всички полезни товари, изтеглени от CustomerLoader, са артефакти на dotRunpeX, който на свой ред разгръща зловредния софтуер на последния етап.

„CustomerLoader е много вероятно да е свързан с Loader-as-a-Service и да се използва от множество банди“, казват от Sekoia.io. „Възможно е CustomerLoader да е нов етап, добавен преди изпълнението на инжектора dotRunpeX от неговия разработчик.“

 

От друга страна, след двумесечно прекъсване в края на август 2023 г. Bumblebee се появи отново в нова кампания за разпространение, в която се използваха сървъри за уеб разпределено авторство и версиониране (WebDAV) за разпространение на зареждащото устройство – тактика, която преди това беше използвана при атаките IcedID.

„В това усилие участниците в заплахата използваха злонамерени спам имейли, за да разпространяват шорткът на Windows (.LNK) и компресирани архивни файлове (.ZIP), съдържащи .LNK файлове“, се казва в Intel 471. „Когато бъдат активирани от потребителя, тези LNK файлове изпълняват предварително определен набор от команди, предназначени за изтегляне на зловреден софтуер Bumblebee, хостван на WebDAV сървъри.“

Зареждащото устройство е актуализиран вариант, който е преминал от използване на протокола WebSocket към TCP за комуникация със сървъра за командване и управление (C2), както и от твърдо кодиран списък на C2 сървърите към алгоритъм за генериране на домейни (DGA), който има за цел да го направи устойчив при изземване на домейни.

В знак на съзряване на икономиката на киберпрестъпността участниците в заплахите, които преди това са били приемани за отделни, си партнират с други групи, както се вижда от случая с „тъмния съюз“ между GuLoader и Remcos RAT.

Макар привидно да се рекламира като легитимен софтуер, неотдавнашен анализ на Check Point разкри използването на GuLoader за разпространение предимно на Remcos RAT, дори когато първият вече се продава като криптиращ софтуер под ново име, наречено TheProtect, което прави полезния му товар напълно неоткриваем от софтуера за сигурност.

„Лице, работещо под псевдонима EMINэM, администрира уебсайтовете BreakingSecurity и VgoStore, които открито продават Remcos и GuLoader“, заяви фирмата за киберсигурност.

„Лицата, които стоят зад тези услуги, са дълбоко обвързани с киберпрестъпната общност, като използват платформите си за улесняване на незаконни дейности и печелят от продажбата на заредени със зловреден софтуер инструменти.“

Разработката идва в момент, когато в дивата природа са забелязани нови версии на зловреден софтуер за кражба на информация, наречен Lumma Stealer, като зловредният софтуер се разпространява чрез фалшив уебсайт, който имитира легитимен сайт за прехвърляне на .DOCX в .PDF.

По този начин, когато се качи файл, уебсайтът връща зловреден двоичен файл, който се маскира като PDF файл с двойно разширение „.pdf.exe“, който при изпълнение събира чувствителна информация от заразените хостове.

Струва си да се отбележи, че Lumma Stealer е най-новото разклонение на известен зловреден софтуер за кражби на име Arkei, който през последните няколко години еволюира във Vidar, Oski и Mars.

„Зловредният софтуер непрекъснато се развива, както се вижда от Lumma Stealer, който има множество разновидности с различна функционалност“, казва Kaspersky .

 

Източник: The Hacker News

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
Бъдете социални
Още по темата
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
09/04/2024

Виетнамската група за кибер...

Новопоявила се група за киберпрестъпления, свързана...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!