Los investigadores de ciberseguridad han descubierto una versión actualizada de un cargador de malware llamado cargador de secuestro que implementa nuevas características para evadir la detección y establecer la persistencia en los sistemas comprometidos.
“El cargador de secuestro lanzó un nuevo módulo que implementa la falsificación de la pila de llamadas para ocultar el origen de las llamadas de función (p. Ej., API y llamadas del sistema)”, dijo el investigador de Zscaler Ameniclabz, Muhammed Irfan VA, en un análisis. “El cargador de secuestro agregó un nuevo módulo para realizar verificaciones anti-VM para detectar entornos de análisis de malware y cajas de arena”.
El cargador de secuestro, descubierto por primera vez en 2023, ofrece la capacidad de entregar cargas útiles de segunda etapa, como malware del robador de información. También viene con una variedad de módulos para evitar el software de seguridad e inyectar código malicioso. Hijack Loader es rastreado por la comunidad más amplia de ciberseguridad bajo los nombres Doiloader, Ghostpulse, Idat Loader y Shadowladder.
En octubre de 2024, Harfanglab y elastic Security Labs detallaron las campañas de cargadores de secuestro que aprovecharon los certificados legítimos de firma de código, así como la infame estrategia de ClickFix para distribuir el malware.
La última iteración del cargador viene con una serie de mejoras sobre su predecesor, la más notable es la adición de la falsificación de la pila de llamadas como una táctica de evasión para ocultar el origen de las API y las llamadas del sistema, un método recientemente adoptado por otro cargador de malware conocido como Coffeeloader.
“Esta técnica utiliza una cadena de punteros EBP para atravesar la pila y ocultar la presencia de una llamada maliciosa en la pila al reemplazar los marcos reales de la pila por los fabricados”, dijo Zscaler.
Al igual que con las versiones anteriores, el cargador de secuestro aprovecha la técnica de la puerta del cielo para ejecutar Syscalls directos de 64 bits para la inyección de procesos. Otros cambios incluyen una revisión de la lista de procesos en lista de bloques para incluir “Avastsvc.exe”, un componente del antivirus Avast, para retrasar la ejecución en cinco segundos.
El malware también incorpora dos nuevos módulos, a saber, antivm para detectar máquinas virtuales y Modtask para configurar la persistencia a través de tareas programadas.
Los resultados muestran que el cargador de secuestro continúa siendo mantenido activamente por sus operadores con la intención de complicar el análisis y la detección.
Shelby Malware utiliza GitHub para comando y control
El desarrollo se produce cuando elastic Security Labs detalló una nueva familia de malware denominada Shelby que utiliza GitHub para comando y control (C2), exfiltración de datos y control remoto. La actividad se está rastreando como Ref8685.
La cadena de ataque implica el uso de un correo electrónico de phishing como punto de partida para distribuir un archivo ZIP que contiene un binario .NET que se usa para ejecutar un cargador DLL rastreado como ShelbyLoader (“httpservice.dll”) a través de la carga lateral de DLL. Los mensajes de correo electrónico se entregaron a una firma de telecomunicaciones con sede en Iraq a través de un correo electrónico de phishing altamente dirigido enviado desde la organización específica.
Posteriormente, el cargador inicia comunicaciones con GitHub para C2 para extraer un valor específico de 48 bytes de un archivo llamado “License.txt” en el repositorio controlado por los atacantes. El valor se usa para generar una clave de descifrado AES y descifrar la carga útil principal de puerta trasera (“httpapi.dll”) y cargarla en la memoria sin dejar artefactos detectables en el disco.
“ShelbyLoader utiliza técnicas de detección de sandbox para identificar entornos virtualizados o monitoreados”, dijo Elastic. “Una vez ejecutado, devuelve los resultados a C2. Estos resultados se empaquetan como archivos de registro, lo que detalla si cada método de detección identificó con éxito un entorno Sandbox”.
La puerta trasera ShelByc2, por su parte, los comandos PARSE enumerados en otro archivo llamado “Command.txt” para descargar/cargar archivos de/a un repositorio de GitHub, cargar un binario .NET reflexivamente y ejecutar los comandos de PowerShell. Lo que es notable aquí es que la comunicación C2 ocurre a través de compromisos con el repositorio privado haciendo uso de un token de acceso personal (PAT).
“La forma en que se configura el malware significa que cualquier persona con el PAT (token de acceso personal) puede obtener comandos teóricamente enviados por el atacante y las salidas de comandos de acceso de cualquier máquina víctima”, dijo la compañía. “Esto se debe a que el token Pat está integrado en el binario y puede ser utilizado por cualquiera que lo obtenga”.
Emmenhtal se extiende Smokeloader a través de archivos 7-ZIP
Los correos electrónicos de phishing con señuelos con temática de pago también se han observado entregando un cargador de malware en el cargador EMMenhtal Loader (también conocido como Peaklight), que actúa como un conducto para implementar otro malware conocido como Smokeloader.
“Una técnica notable observada en esta muestra de Smokeloader es el uso de .NET Reactor, una herramienta comercial de protección de .NET utilizada para la ofuscación y el embalaje”, dijo Gdata.
“Si bien el Smokeloader ha aprovechado históricamente a los empacadores como Themida, Enigma Protector y Crypters personalizados, el uso de reactores .NET se alinea con las tendencias observadas en otras familias de malware, particularmente los robadores y cargadores, debido a sus fuertes mecanismos de análisis anti-análisis”.
