ClickCease Malware JinxLoader: Se desvela la siguiente fase de las amenazas de carga útil

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Malware JinxLoader: Se desvela la siguiente fase de las amenazas de carga útil

por Wajahat Raja

18 de enero de 2024 - Equipo de expertos TuxCare

En el siempre cambiante panorama de la ciberseguridad, un reciente descubrimiento de la Unidad 42 de Palo Alto Networks y Symantec arroja luz sobre un nuevo cargador de malware basado en Go llamado malware JinxLoader. Esta sofisticada herramienta es empleada por los actores de amenazas para facilitar la entrega de cargas maliciosascomo Formbook y su sucesor, XLoader.

 

Modus operandi del malware JinxLoader


JinxLoader, que rinde homenaje al personaje Jinx de League of Legends, hace acto de presencia a través de un cartel publicitario y un panel de inicio de sesión de comando y control en el que aparece el personaje. Su función principal es sencilla pero siniestra: sirve de cargador para otros programas maliciosos.


Desvelar la cronología


Según el
analista de amenazas de ciberseguridad de ambas empresas de ciberseguridad, Unit 42 y Symantec, JinxLoader apareció por primera vez en el foro de hacking Hackforums el 30 de abril de 2023. Anunciado a un precio de 60 dólares al mes, 120 dólares al año o 200 dólares de por vida, este malware adquirió rápidamente notoriedad en la ciberdelincuencia clandestina.


Actores de amenazas y JinxLoader


Los pasos iniciales del ataque implican intrincadas
campañas de phishingen las que los autores de la amenaza se hacen pasar por la Abu Dhabi National Oil Company (ADNOC). Los destinatarios reciben correos electrónicos de phishing en los que se les insta a abrir archivos RAR protegidos con contraseña. Una vez abiertos, se desencadena una reacción en cadena que lleva al despliegue de la carga útil JinxLoader.


Escalada del panorama de amenazas


La Unidad 42 de Palo Alto Networks observó los primeros casos de JinxLoader en
noviembre de 2023. El ataque de phishing utilizó el disfraz de ADNOC, lo que ilustra la adaptabilidad de los ciberdelincuentes a la hora de elaborar esquemas convincentes. Los correos electrónicos engañosos tienen como objetivo engañar a los destinatarios para que abran archivos protegidos por contraseña, iniciando así la cadena de infección maliciosa.


Amenazas paralelas


La aparición de
métodos de infección de JinxLoader no es un incidente aislado. Investigadores de ciberseguridad han observado un repunte de las infecciones asociadas a una nueva familia de malware loader, Rugmi, diseñada para propagar diversos ladrones de información.

Simultáneamente, las campañas que distribuyen DarkGatePikaBot, y un actor de amenazas identificado como TA544 (Narwal Spider) que utiliza IDAT Loader para desplegar Remcos RAT o malware SystemBC contribuyen a la escalada del panorama de amenazas.


Actualizaciones sobre Meduza Stealer


Para aumentar la complejidad, los autores de la amenaza Meduza Stealer han publicado una versión actualizada (2.2) en la dark web. Esta versión muestra capacidades mejoradas, incluyendo soporte ampliado para monederos de criptomonedas basados en navegador y un capturador de tarjetas de crédito mejorado.


Robo de vórtices: Un nuevo participante


Los investigadores han descubierto una nueva familia llamada Vortex Stealer, que pone de manifiesto la rentabilidad del mercado de malware de robo. Este malware, capaz de filtrar datos del navegador, tokens de Discord, sesiones de Telegram, información del sistema y archivos de menos de 2 MB de tamaño, representa una preocupante adición a las
amenazas persistentes avanzadas (APT) (APT).


Técnicas de distribución de malware


Symantec informa de que Vortex Stealer emplea varios métodos para la información robada, incluyendo el archivado y la subida a Gofile o Anonfiles. Además, el malware puede publicar los datos robados en el Discord del autor mediante webhooks e incluso transmitirlos a Telegram a través de un bot dedicado a Telegram. El panorama de las ciberamenazas incluye técnicas sofisticadas, con
entrega de carga útil en la siguiente fase es un aspecto crítico que los profesionales de la seguridad deben abordar.


Conclusión


A medida que el panorama de las amenazas digitales sigue evolucionando, el descubrimiento de
vectores de ataque de JinxLoader subraya la importancia de una vigilancia constante y de medidas de ciberseguridad sólidas. La naturaleza interconectada de estas amenazas, como se ha visto con Rugmi, DarkGate, PikaBot, IDAT Loader y Vortex Stealer, requiere una completa y proactiva inteligencia sobre ciberamenazas para proteger los activos digitales.

Las organizaciones deben mantenerse informadas, actualizar sus protocolos de seguridad e implantar mejores prácticas de ciberseguridad contra el malware JinxLoader para mitigar los riesgos que plantean estas amenazas emergentes.

Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.

Resumen
Malware JinxLoader: Se desvela la siguiente fase de las amenazas de carga útil
Nombre del artículo
Malware JinxLoader: Se desvela la siguiente fase de las amenazas de carga útil
Descripción
Descubra la información más reciente sobre el malware JinxLoader, una potente herramienta utilizada por los actores de amenazas. Proteja sus sistemas de las ciberamenazas hoy mismo.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.