• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Malware HijackLoader triunfa por su capacidad de carga modular

Malware HijackLoader triunfa por su capacidad de carga modular

11 septiembre, 2023 Por Hispasec Deja un comentario

Un nuevo malware llamado HijackLoader está ganando popularidad entre la comunidad de ciberdelincuentes debido a su capacidad para desplegar una serie de payloads maliciosos, entre ellos DanaBot, SystemBC y RedLine Stealer.

Aunque HijackLoader carece de características avanzadas en sí mismo, su arquitectura modular le permite utilizar una diversidad de módulos para la inyección y ejecución de código malicioso, una característica que es poco común en la mayoría de los cargadores, según lo revelado por el investigador de Zscaler ThreatLabz, Nikolaos Pantazopoulos.

El primer avistamiento de este malware data de julio de 2023, y desde entonces ha empleado múltiples técnicas para eludir la detección, como el uso de llamadas al sistema con el fin de evadir las soluciones de seguridad, así como la monitorización de procesos relacionados con software de seguridad incluidos en una lista negra incrustada. Además, retrasa la ejecución de su código hasta por 40 segundos en distintas etapas.

A pesar de que todavía no se ha identificado el vector de acceso inicial utilizado para infiltrarse en los equipos objetivos, HijackLoader es efectivo en el mantenimiento de su persistencia en el host comprometido mediante la creación de un archivo de acceso directo (LNK) en la carpeta de inicio de Windows, vinculándolo a una tarea del servicio Background Intelligent Transfer Service (BITS).

«HijackLoader es un cargador modular con técnicas de evasión implementadas, que ofrece una variedad de opciones de carga para payloads maliciosos. Además, no tiene características avanzadas y la calidad del código es deficiente».

Nikolaos Pantazopoulos de Zscaler ThreatLabz.

Estos hallazgos se enmarcan en el contexto de Flashpoint, que ha dado a conocer detalles sobre una versión actualizada de un malware ladrón de información llamado RisePro, anteriormente distribuido a través de un servicio de descarga de malware denominado PrivateLoader.

«El vendedor afirmaba en sus anuncios que habían tomado las mejores características de ‘RedLine‘ y ‘Vidar‘ para crear un potente ladrón de información. Y esta vez, el vendedor también promete una nueva ventaja para los usuarios de RisePro: los clientes alojan sus propios paneles para asegurarse de que los registros no sean robados por los vendedores».

Flashpoint

RisePro, escrito en C++, está diseñado para recopilar información sensible en máquinas infectadas y enviarla a un servidor de comando y control (C2) en forma de registros. Fue ofrecido por primera vez en venta en diciembre de 2022.

Estos desarrollos se suman al descubrimiento de un nuevo ladrón de información escrito en Node.js, distribuido a través de anuncios maliciosos en Facebook y sitios web fraudulentos que se hacen pasar por el editor de videos CapCut de ByteDance y se presenta empaquetado en un ejecutable. Esta amenaza utiliza modelos de lenguaje grandes (LLM) para su temática.

«Cuando el ladrón se ejecuta, realiza su función principal: robar cookies y credenciales de varios navegadores web basados en Chromium y, posteriormente, envía los datos al servidor C2 y al bot de Telegram. Además, suscribe al cliente al servidor C2 que ejecuta GraphQL. Cuando el servidor C2 envía un mensaje al cliente, la función de robo se ejecutará nuevamente. Los navegadores objetivo incluyen Google Chrome, Microsoft Edge, Opera (y OperaGX) y Brave».

Explicó el investigador de seguridad Jaromir Horejsi

En el año 2023, Cyble descubrió dos cadenas de ataque diferentes que utilizaban el software como señuelo para engañar a usuarios desprevenidos y ejecutar Offx Stealer y RedLine Stealer.

Todos estos desarrollos ilustran un panorama en constante evolución en el ecosistema del ciberdelito, con las infecciones de ladrones de información desempeñando un papel crucial como vector de ataque inicial utilizado por actores de amenazas para infiltrarse en organizaciones y llevar a cabo operaciones de postexplotación.

Por lo tanto, no sorprende que los actores de amenazas continúen innovando y creando nuevas cepas de malware ladrón de información, como Prysmax, que incorporan diversas funcionalidades para permitir a sus clientes ampliar su alcance e impacto.

«Este malware basado en Python se presenta empaquetado con Pyinstaller, una herramienta que permite agrupar el código malicioso y todas sus dependencias en un solo ejecutable. El malware de robo de información se centra en deshabilitar Windows Defender, manipula su configuración y establece su propia respuesta ante amenazas. Además, intenta minimizar su huella y mantener un punto de apoyo en el sistema comprometido. Este malware parece estar bien diseñado para el robo y la exfiltración de datos, mientras evita ser detectado por herramientas de seguridad y entornos de análisis dinámico».

Cyfirma

En un mundo cada vez más interconectado, la ciberseguridad se ha convertido en un campo de batalla constante. La continua evolución de amenazas como HijackLoader, RisePro y otros malwares es un recordatorio contundente de la importancia de la vigilancia y la protección en línea en la era digital.

Más información:

  • https://flashpoint.io/blog/danabot-version-3-what-you-need-to-know/
  • https://www.zscaler.com/blogs/security-research/technical-analysis-hijackloader
  • https://learn.microsoft.com/en-us/windows/win32/bits/background-intelligent-transfer-service-portal
  • https://flashpoint.io/blog/risepro-stealer-and-pay-per-install-malware-privateloader/
  • https://www.trendmicro.com/en_us/research/23/h/profile-stealers-spread-via-llm-themed-facebook-ads.html
  • https://www.trendmicro.com/en_us/research/23/i/analyzing-a-facebook-profile-stealer-written-in-node-js.html
  • https://cyble.com/blog/capcut-users-under-fire/
  • https://research.checkpoint.com/2023/from-hidden-bee-to-rhadamanthys-the-evolution-of-custom-executable-formats/
  • https://www.cyfirma.com/outofband/new-maas-prysmax-launches-fully-undetectable-infostealer/

Acerca de Hispasec

Hispasec Ha escrito 6967 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General, Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Google responde a la explotación de una vulnerabilidad zero-day en Chrome
  • PoC falsa de WinRAR infecta a los usuarios con el malware Venom RAT
  • El grupo UNC3944 cambia su operativa con ataques de ransomware
  • Un bug permite "romper" el WhatsApp de todos los miembros de un grupo
  • Investigación Troyano bancario Zanubis LATAM

Entradas recientes

  • Google responde a la explotación de una vulnerabilidad zero-day en Chrome
  • Gobierno asiático en el centro de una campaña de espionaje liderada por grupos chinos
  • PoC falsa de WinRAR infecta a los usuarios con el malware Venom RAT
  • El grupo UNC3944 cambia su operativa con ataques de ransomware
  • Vulnerabilidad en el Servidor Nessus de Tenable Expuesta: SMTP Passback
  • Symantec revela la aparición de 3AM, un nuevo ransomware escrito en Rust
  • Malware HijackLoader triunfa por su capacidad de carga modular
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...