Los investigadores de ciberseguridad han detallado el funcionamiento interno de un cargador altamente evasivo llamado «in2al5d p3in4er» (léase: impresora no válida) que se utiliza para entregar el malware ladrón de información Aurora.
«El cargador in2al5d p3in4er se compila con Embarcadero RAD Studio y se dirige a estaciones de trabajo de punto final utilizando una técnica avanzada anti-VM (máquina virtual)», dijo la firma de ciberseguridad Morphisec en un informe compartido con The Hacker News.
Aurora es un ladrón de información basado en Go que surgió en el panorama de amenazas a fines de 2022. Ofrecido como un malware básico a otros actores, se distribuye a través de videos de YouTube y sitios web de descarga de software falso con SEO preparado.
Al hacer clic en los enlaces presentes en las descripciones de los videos de YouTube, se redirige a la víctima a sitios web señuelo donde se les atrae a descargar el malware bajo el disfraz de una utilidad aparentemente legítima.
El cargador analizado por Morphisec está diseñado para consultar el ID de proveedor de la tarjeta gráfica instalada en un sistema y compararlo con un conjunto de ID de proveedor permitidos (AMD, Intel o NVIDIA). Si el valor no coincide, el cargador termina solo.
El cargador finalmente descifra la carga útil final y la inyecta en un proceso legítimo llamado «sihost.exe» utilizando una técnica llamada vaciado del proceso. Alternativamente, algunas muestras de cargador también asignan memoria para escribir la carga útil descifrada e invocarla desde allí.
«Durante el proceso de inyección, todas las muestras del cargador resuelven las API de Win necesarias dinámicamente y descifran estos nombres utilizando una clave XOR: ‘in2al5d p3in4er'», dijeron los investigadores de seguridad Arnold Osipov y Michael Dereviashkin.
Otro aspecto crucial del cargador es su uso de Embarcadero RAD Studio para generar ejecutables para múltiples plataformas, lo que le permite evadir la detección.
«Aquellos con la tasa de detección más baja en VirusTotal se compilan usando ‘BCC64.exe’, un nuevo compilador C ++ basado en Clang de Embarcadero», dijo la compañía israelí de ciberseguridad, señalando su capacidad para evadir sandboxes y máquinas virtuales.
«Este compilador utiliza una base de código diferente, como ‘Standard Library’ (Dinkumware) y ‘Runtime Library’ (compiler-rt) y genera código optimizado que cambia el punto de entrada y el flujo de ejecución. Esto rompe los indicadores de los proveedores de seguridad, como las firmas compuestas de ‘bloque de código malicioso / sospechoso'».
En pocas palabras, los hallazgos muestran que los actores de amenazas detrás de in2al5d p3in4er están aprovechando los métodos de ingeniería social para una campaña de alto impacto que emplea YouTube como un canal de distribución de malware y dirige a los espectadores a sitios web falsos de aspecto convincente para distribuir el malware ladrón.
El desarrollo se produce cuando Intel 471 desenterró otro cargador de malware AresLoader que se comercializa por $ 300 / mes como un servicio para que los actores criminales empujen a los ladrones de información disfrazados de software popular utilizando una herramienta de carpeta. Se sospecha que el cargador fue desarrollado por un grupo con vínculos con el hacktivismo ruso.
Algunas de las familias de malware prominentes que se propagan usando AresLoader desde enero de 2023 incluyen Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc y SystemBC.
Fuente: https://thehackernews.com
