Un examen de un cargador de pago por instalación ha destacado su lugar en la implementación de cepas de malware populares, incluidos Smokeloader y Vidar.
El martes, Intel 471 publicó un informe en PrivateLoader que examina los ciberataques que utilizan el cargador desde mayo de 2021. El servicio de malware de pago por instalación (PPI) ha estado en el campo del cibercrimen durante un tiempo, pero se desconoce quién está detrás. el desarrollo del malware.
Los cargadores se utilizan para implementar cargas útiles adicionales en una máquina de destino. PrivateLoader es una variante que se ofrece a los clientes criminales por instalación, en la que el pago se realiza en función de cuántas víctimas logran asegurar.
PrivateLoader se controla a través de un conjunto de servidores de comando y control (C2) y un panel de administrador diseñado con AdminLTE 3.
El panel frontal ofrece funciones que incluyen agregar nuevos usuarios, opciones de configuración para seleccionar una carga útil para instalar a través del cargador, selección de destino para ubicaciones y países, la configuración de enlaces de descarga de carga útil, encriptación y selección de extensiones de navegador para comprometer las máquinas de destino.
Además: Google Cloud lanza un escáner de malware de cryptojacking sin agente
La distribución del cargador se realiza principalmente a través de sitios web de software pirateados. Las versiones crackeadas de software popular, a veces incluidas con generadores de claves, son formas ilegales de software manipuladas para eludir la concesión de licencias o el pago.
Los botones de descarga para el software descifrado en los sitios web en realidad están integrados con JavaScript que despliega la carga útil en un archivo .ZIP.
En muestras recolectadas por la firma de ciberseguridad, el paquete contenía un ejecutable malicioso. Este archivo .exe desencadena una variedad de malware, incluido un revendedor de carga GCleaner falso, PrivateLoader y Redline.
El módulo PrivateLoader se ha utilizado para ejecutar Smokeloader, Redline y Vidar desde al menos mayo de 2021. De estas familias de malware, Smokeloader es la más popular.
Smokeloader es un cargador separado que también se puede usar para robo y reconocimiento de datos; Redline se especializa en el robo de credenciales, mientras que Vidar es un software espía capaz de filtrar muchos tipos de datos diferentes, incluidas contraseñas, documentos e información de billetera digital.
Un enlace de distribución para capturar Smokeloader también sugiere una posible conexión con el troyano bancario Qbot. Los bots PrivateLoader también se han utilizado para la distribución del troyano bancario Kronos y la red de bots Dridex.
PrivateLoader no está vinculado específicamente a la implementación de ransomware, pero un cargador vinculado a este malware, denominado Discoloader, se ha utilizado en ataques diseñados para propagar Conti.
«Los servicios de PPI han sido un pilar del delito cibernético durante décadas. Al igual que la población en general, los delincuentes acudirán en masa al software que les brinda una amplia gama de opciones para lograr fácilmente sus objetivos», dicen los investigadores. «Al resaltar la versatilidad de este malware, esperamos dar a los defensores la oportunidad de desarrollar estrategias únicas para frustrar los ataques de malware potenciados por PrivateLoader».
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0