Estos tres cargadores estuvieron detrás del 80% de las intrusiones de este año • The Register

Aug 04, 2023

Tres cargadores de malware (QBot, SocGholish y Raspberry Robin) son responsables del 80 por ciento de los ataques observados en computadoras y redes en lo que va del año.

La tienda de seguridad ReliaQuest informó el viernes que los principales elementos desagradables que las defensas de TI deberían detectar y bloquear son QBot (también conocido como QakBot, QuackBot y Pinkslipbot), el cargador más observado entre el 1 de enero y el 31 de julio, responsable del 30 por ciento de la intrusión. intentos registrados. SocGholish quedó en segundo lugar con un 27 por ciento y Raspberry Robin con un 23 por ciento. Los otros siete cargadores de la alineación están muy por detrás de los tres líderes: Gootloader con un 3 por ciento, Guloader, Chromeloader y Ursnif con un 2 por ciento.

Como sugiere el nombre, los cargadores son una etapa intermedia de una infección de malware. El cargador lo ejecuta en el ordenador de la víctima, por ejemplo, un malhechor que explota alguna vulnerabilidad o simplemente envía un mensaje de correo electrónico con un archivo adjunto malicioso para abrir. Cuando el cargador se está ejecutando, generalmente asegura su punto de apoyo en el sistema, toma medidas para mantener la persistencia y recupera la carga principal de malware para ejecutar, que podría ser ransomware o una puerta trasera o algo así.

Esto les da a los equipos cierta flexibilidad después de la intrusión y también ayuda a ocultar el eventual software desagradable que se implementa en una máquina. Ser capaz de detectar y detener un cargador podría detener una importante infección de malware dentro de su organización.

Sin embargo, estos cargadores provocan migrañas en los equipos de seguridad porque, como señaló ReliaQuest, "la mitigación para un cargador puede no funcionar para otro, incluso si carga el mismo malware".

Según el análisis, QBot, que ReliaQuest describe como "el ágil", es el troyano bancario de 16 años que desde entonces ha evolucionado para entregar ransomware, robar datos confidenciales, permitir el movimiento lateral a través de los entornos de las organizaciones e implementar código remoto. software de ejecución.

En junio, el grupo de inteligencia de amenazas Black Lotus Labs de Lumen descubrió que el cargador utilizaba nuevos métodos de entrega de malware e infraestructura de comando y control, y una cuarta parte de los utilizados estaban activos solo por un día. Esta evolución probablemente fue en respuesta a la decisión de Microsoft el año pasado de bloquear las macros obtenidas de Internet de forma predeterminada para los usuarios de Office, según investigadores de seguridad.

"La agilidad de QakBot fue evidente en la respuesta de sus operadores a la Marca de la Web (MOTW) de Microsoft: cambiaron las tácticas de entrega y optaron por utilizar el contrabando de HTML", dijo ReliaQuest. "En otros casos, los operadores de QakBot han experimentado con tipos de archivos para sus cargas útiles, para evadir las medidas de mitigación".

Esto incluye el uso de archivos maliciosos de OneNote en sus correos electrónicos de phishing, como fue el caso de una campaña de febrero de 2023 dirigida a organizaciones estadounidenses.

El cargador número dos, SocGholish, es un fragmento de código basado en JavaScript dirigido a Windows. Se le ha vinculado con Evil Corp de Rusia y con el corredor de acceso inicial Exotic Lily, que irrumpe en redes corporativas y luego vende ese acceso a otros delincuentes.

SocGholish generalmente se implementa mediante compromisos ocultos y campañas de ingeniería social, haciéndose pasar por una actualización falsa que, cuando se descarga, coloca el código malicioso en el dispositivo de la víctima. En un momento dado, Exotic Lily enviaba más de 5.000 correos electrónicos al día a unas 650 organizaciones globales específicas, según el Grupo de Análisis de Amenazas de Google.

El otoño pasado, un grupo criminal identificado como TA569 comprometió más de 250 sitios web de periódicos estadounidenses y luego utilizó ese acceso para ofrecer malware SocGholish a los lectores de las publicaciones a través de anuncios y videos maliciosos basados ​​en JavaScript.

Más recientemente, en la primera mitad de 2023, ReliaQuest rastreó a los operadores de SocGholish que llevaban a cabo "ataques agresivos a abrevaderos".

"Comprometieron e infectaron sitios web de grandes organizaciones involucradas en operaciones comerciales comunes con potencial lucrativo", dijeron los investigadores de amenazas. "Los visitantes desprevenidos inevitablemente descargaron la carga útil de SocGholish, lo que provocó infecciones generalizadas".

Completando los tres primeros está Raspberry Robin, que también apunta a sistemas Windows y ha evolucionado a partir de un gusano que se propaga a través de unidades USB.

Estos USB infectados contienen archivos .lnk maliciosos que, cuando se ejecutan, se comunican con el servidor de comando y control, establecen persistencia y ejecutan malware adicional en el dispositivo infectado (cada vez más ransomware).

Raspberry Robin también se ha utilizado para distribuir ransomware Clop y LockBit, así como malware de robo de datos TrueBot, troyano de acceso remoto Flawed Grace y Cobalt Strike para obtener acceso a los entornos de las víctimas.

Está vinculado a Evil Corp y otra banda criminal rusa, Whisper Spider. Y durante la primera mitad de 2023, se utilizó en ataques contra instituciones financieras, telecomunicaciones, gobiernos y organizaciones manufactureras, principalmente en Europa pero también en Estados Unidos.

"Según las tendencias recientes, es muy probable que estos cargadores sigan representando una amenaza para las organizaciones en el futuro a mediano plazo (3 a 6 meses) y más allá", escribieron los investigadores.

"En lo que queda de 2023, podemos anticipar otros desarrollos en estos cargadores, ya sea en respuesta a la mitigación organizacional o mediante la colaboración entre actores de amenazas". ®

Envíanos noticias