Malware JinxLoader: Se desvela la siguiente fase de las amenazas de carga útil
En el siempre cambiante panorama de la ciberseguridad, un reciente descubrimiento de la Unidad 42 de Palo Alto Networks y Symantec arroja luz sobre un nuevo cargador de malware basado en Go llamado malware JinxLoader. Esta sofisticada herramienta es empleada por los actores de amenazas para facilitar la entrega de cargas maliciosascomo Formbook y su sucesor, XLoader.
Modus operandi del malware JinxLoader
JinxLoader, que rinde homenaje al personaje Jinx de League of Legends, hace acto de presencia a través de un cartel publicitario y un panel de inicio de sesión de comando y control en el que aparece el personaje. Su función principal es sencilla pero siniestra: sirve de cargador para otros programas maliciosos.
Desvelar la cronología
Según el analista de amenazas de ciberseguridad de ambas empresas de ciberseguridad, Unit 42 y Symantec, JinxLoader apareció por primera vez en el foro de hacking Hackforums el 30 de abril de 2023. Anunciado a un precio de 60 dólares al mes, 120 dólares al año o 200 dólares de por vida, este malware adquirió rápidamente notoriedad en la ciberdelincuencia clandestina.
Actores de amenazas y JinxLoader
Los pasos iniciales del ataque implican intrincadas campañas de phishingen las que los autores de la amenaza se hacen pasar por la Abu Dhabi National Oil Company (ADNOC). Los destinatarios reciben correos electrónicos de phishing en los que se les insta a abrir archivos RAR protegidos con contraseña. Una vez abiertos, se desencadena una reacción en cadena que lleva al despliegue de la carga útil JinxLoader.
Escalada del panorama de amenazas
La Unidad 42 de Palo Alto Networks observó los primeros casos de JinxLoader en noviembre de 2023. El ataque de phishing utilizó el disfraz de ADNOC, lo que ilustra la adaptabilidad de los ciberdelincuentes a la hora de elaborar esquemas convincentes. Los correos electrónicos engañosos tienen como objetivo engañar a los destinatarios para que abran archivos protegidos por contraseña, iniciando así la cadena de infección maliciosa.
Amenazas paralelas
La aparición de métodos de infección de JinxLoader no es un incidente aislado. Investigadores de ciberseguridad han observado un repunte de las infecciones asociadas a una nueva familia de malware loader, Rugmi, diseñada para propagar diversos ladrones de información.
Simultáneamente, las campañas que distribuyen DarkGatePikaBot, y un actor de amenazas identificado como TA544 (Narwal Spider) que utiliza IDAT Loader para desplegar Remcos RAT o malware SystemBC contribuyen a la escalada del panorama de amenazas.
Actualizaciones sobre Meduza Stealer
Para aumentar la complejidad, los autores de la amenaza Meduza Stealer han publicado una versión actualizada (2.2) en la dark web. Esta versión muestra capacidades mejoradas, incluyendo soporte ampliado para monederos de criptomonedas basados en navegador y un capturador de tarjetas de crédito mejorado.
Robo de vórtices: Un nuevo participante
Los investigadores han descubierto una nueva familia llamada Vortex Stealer, que pone de manifiesto la rentabilidad del mercado de malware de robo. Este malware, capaz de filtrar datos del navegador, tokens de Discord, sesiones de Telegram, información del sistema y archivos de menos de 2 MB de tamaño, representa una preocupante adición a las amenazas persistentes avanzadas (APT) (APT).
Técnicas de distribución de malware
Symantec informa de que Vortex Stealer emplea varios métodos para la información robada, incluyendo el archivado y la subida a Gofile o Anonfiles. Además, el malware puede publicar los datos robados en el Discord del autor mediante webhooks e incluso transmitirlos a Telegram a través de un bot dedicado a Telegram. El panorama de las ciberamenazas incluye técnicas sofisticadas, con entrega de carga útil en la siguiente fase es un aspecto crítico que los profesionales de la seguridad deben abordar.
Conclusión
A medida que el panorama de las amenazas digitales sigue evolucionando, el descubrimiento de vectores de ataque de JinxLoader subraya la importancia de una vigilancia constante y de medidas de ciberseguridad sólidas. La naturaleza interconectada de estas amenazas, como se ha visto con Rugmi, DarkGate, PikaBot, IDAT Loader y Vortex Stealer, requiere una completa y proactiva inteligencia sobre ciberamenazas para proteger los activos digitales.
Las organizaciones deben mantenerse informadas, actualizar sus protocolos de seguridad e implantar mejores prácticas de ciberseguridad contra el malware JinxLoader para mitigar los riesgos que plantean estas amenazas emergentes.
Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.