Hakeri prodaju novi kripter i učitavač pod nazivom ASMCrypt, koji je opisan kao “razvijena verzija” drugog malvera za učitavanje poznatog kao DoubleFinger.
“Ideja koja stoji iza ove vrste malvera je učitavanje konačnog payload-a bez da proces učitavanja ili sam payload bude otkriven od strane AV/EDR, itd.”, rekao je Kaspersky u analizi objavljenoj ove sedmice.
DoubleFinger je prvi dokumentovala ruska kompanija za kibernetičku sigurnost, opisujući lance infekcije koji koriste malver za propagiranje kradljivca kriptovaluta nazvanog GreetingGhoul žrtvama u Europi, SAD-u i Latinskoj Americi.
ASMCrypt, kada ga kupci jednom kupe i pokrenu, dizajniran je da uspostavi kontakt sa pozadinskom uslugom preko TOR mreže koristeći tvrdo kodirane akreditive, čime se kupcima omogućava da izgrade payload-e po svom izboru za upotrebu u svojim kampanjama.
„Aplikacija kreira šifrovani blob skriven unutar .PNG datoteke“, rekao je Kaspersky. “Ova slika mora biti postavljena na web lokaciju za hosting slika.”
Loaderi su postali sve popularniji zbog svoje sposobnosti da djeluju kao servis za isporuku malvera koji može koristiti nekoliko hakera kako bi dobili početni pristup mrežama za provođenje ransomware napada, krađe podataka i drugih malicioznih cyber aktivnosti.
Ovo uključuje nove i uspostavljene igrače, kao što su Bumblebee, CustomerLoader i GuLoader, koji su korišteni za isporuku raznih malvera. Zanimljivo je da su svi payload-i koje preuzima CustomerLoader dotRunpeX artefakti, koji zauzvrat postavljaju malver u završnoj fazi.
“CustomerLoader je vrlo vjerovatno povezan sa Loader-as-a-Service i koristi ga više hakera”, rekao je Sekoia.io. “Moguće je da je CustomerLoader nova faza koja je dodata prije izvršavanja dotRunpeX injektora od strane njegovog programera.”
Bumblebee se, s druge strane, ponovo pojavio nakon dvomjesečne pauze krajem augusta 2023. u novoj distribucijskoj kampanji koja je koristila Web Distributed Authoring and Versioning (WebDAV) servere za širenje loader-a, taktiku koja je ranije bila usvojena u IcedID napadima.
“U ovom nastojanju, hakeri su koristili zlonamjerne neželjene e-poruke za distribuciju Windows prečica (.LNK) i komprimiranih arhivskih (.ZIP) datoteka koje sadrže .LNK datoteke”, navodi Intel 471. “Kada ih korisnik aktivira, ove LNK datoteke izvršavaju unaprijed određeni skup naredbi dizajniranih za preuzimanje Bumblebee malvera koji se nalazi na WebDAV serverima.”
Učitavač je ažurirana varijanta koja je prešla sa upotrebe WebSocket protokola na TCP za komunikaciju sa serverom za komandu i kontrolu (C2), kao i sa tvrdo kodirane liste C2 servera na algoritam za generisanje domena (DGA) koji ima za cilj daučiniti ga otpornim u slučaju uklanjanja domena.
U onome što je znak sazrijevanja ekonomije kibernetičkog kriminala, hakeri za koje se ranije pretpostavljalo da su različiti udružili su se s drugim grupama, što se vidi u slučaju „mračnog saveza“ između GuLoadera i Remcos RAT-a.
Iako se navodno reklamira kao legitiman softver, nedavna analiza iz Check Pointa otkrila je upotrebu GuLoader-a za prvenstveno distribuciju Remcos RAT-a, iako se prvi sada prodaje kao kriptator pod novim imenom TheProtect, zbog čega sigurnosni softver ne može potpuno otkriti njegov payload.
„Pojedinac koji posluje pod pseudonimom EMINéM administrira oba veb-sajta BreakingSecurity i VgoStore koji otvoreno prodaju Remcos i GuLoader,” saopštila je firma za kibernetičku bezbednost.
„Pojedinci koji stoje iza ovih usluga duboko su upleteni u zajednicu kibernetičkih kriminalaca, koristeći svoje platforme kako bi olakšali ilegalne aktivnosti i profitirali od prodaje alata napunjenih malverom.”
Razvoj dolazi nakon što su nove verzije malvera za krađu informacija koji se naziva Lumma Stealer uočene u opticaju, sa malverom koji se distribuira preko lažne web stranice koja oponaša legitimnu .DOCX to .PDF stranicu.
Stoga, kada se datoteka učita, web stranica vraća zlonamjerni binarni fajl koji se maskira kao PDF sa dvostrukom ekstenzijom “.pdf.exe” koji, nakon izvršenja, prikuplja osjetljive informacije sa zaraženih hostova.
Vrijedi napomenuti da je Lumma Stealer najnoviji fork poznatog malvera za krađu pod nazivom Arkei, koji je evoluirao u Vidar, Oski i Mars u posljednjih nekoliko godina.
„Malver se stalno razvija, kao što ilustruje Lumma Stealer, koji ima više varijacija sa različitim funkcijama“, rekao je Kaspersky.
Izvor: The Hacker News
