Resumen de los ciberataques 11-17 septiembre
Dentro de Maranhão Stealer: InfoStealer basado en Node.js que utiliza inyección de DLL reflexiva
Investigadores de ciberseguridad han identificado una campaña activa relacionada con Maranhão Stealer, un sofisticado malware para el robo de credenciales basado en Node.js. La campaña se está propagando actualmente a través de sitios web de ingeniería social alojados en plataformas en la nube que distribuyen software pirateado, lanzadores de juegos crackeados y trucos dirigidos a la comunidad de jugadores. Las víctimas son engañadas para que descarguen instaladores troyanizados como DerelictSetup.zip o Fnafdoomlauncher.exe, que contienen un instalador Inno Setup que, de forma silenciosa, coloca un binario compilado con Node.js llamado updater.exe dentro de una carpeta camuflada como "Microsoft Updater". El malware se mantiene activo mediante claves de registro Run y tareas programadas, oculta sus componentes marcándolos como archivos ocultos del sistema y, a continuación, procede a realizar un reconocimiento detallado del host, búsquedas de geolocalización y capturas de pantalla. Entre los datos robados se incluyen datos del sistema, capturas de pantalla, credenciales, cookies, historial de navegación e información de monederos de criptomonedas.
La amenaza de una nueva generación: se ha descubierto Hybridpetya, el sucesor del infame Cipher, con el bypass de UEFI Secure Boot
Se ha identificado una nueva familia de ransomware, denominada HybridPetya, que imita a Petya/NotPetya pero con capacidades técnicas mejoradas, en particular, la elusión del arranque seguro UEFI a través de CVE-2024-7344. Al igual que sus homónimos, se dirige a las particiones NTFS y cifra la tabla maestra de archivos (MFT), que es el metadato central de todos los archivos de esas particiones. A diferencia de NotPetya, HybridPetya conserva la posibilidad de descifrado: la clave de descifrado se puede reconstruir a partir de la "clave de instalación personal" de la víctima, lo que lo hace más parecido a Petya en ese aspecto que puramente destructivo. Técnicamente, HybridPetya es compatible tanto con los sistemas antiguos basados en BIOS como con los modernos basados en UEFI.
AdaptixC2: un nuevo framework de código abierto utilizado en ataques reales
Investigadores de ciberseguridad han informado de que AdaptixC2, un marco de emulación adversaria y postexplotación de código abierto relativamente nuevo, se está utilizando cada vez más en ciberataques reales. Originalmente destinado a los evaluadores de penetración, AdaptixC2 ha ganado popularidad entre los actores maliciosos debido a su flexibilidad, su diseño modular y su capacidad para evadir la detección. A diferencia de otros marcos C2 más consolidados, Adaptix C2 ha pasado prácticamente desapercibido hasta hace poco; sin embargo, su uso documentado en múltiples incidentes indica una tendencia al alza en su adopción. AdaptixC2 permite a los atacantes ejecutar comandos, manipular el sistema de archivos, crear o eliminar archivos, enumerar procesos, cerrar aplicaciones y ejecutar nuevos programas en sistemas comprometidos. También admite mecanismos avanzados de túnel, como el proxy SOCKS4/5 y el reenvío de puertos, lo que permite una comunicación encubierta incluso en entornos estrictamente controlados.
Variante Frankenstein de la backdoor ToneShell dirigida a Myanmar
Los investigadores han identificado una nueva variante híbrida de la backdoor ToneShell, una familia de malware asociada al grupo de amenazas Mustang Panda, vinculado a China, que tiene como objetivo entidades en Myanmar. Esta variante, apodada "Frankenstein" debido a su combinación de características de iteraciones anteriores, no introduce capacidades innovadoras, pero incorpora amplias medidas antianálisis y nuevos indicadores de compromiso que los defensores pueden utilizar para su detección. ToneShell se distribuye normalmente mediante la carga lateral de DLL, a menudo incrustada en archivos que contienen ejecutables legítimos firmados. En esta campaña, se distribuyó un archivo ZIP malicioso con el nombre "TNLA y otras fuerzas revolucionarias" (en birmano), lo que refleja los intentos de atraer a las víctimas mediante temas con carga política.
RevengeHotels: una nueva ola de ataques que aprovechan los modelos de lenguaje grande (LLM) y VenomRAT
El grupo ciberdelincuente conocido como RevengeHotels (también rastreado como TA558) ha lanzado una nueva ola de ciberataques dirigidos al sector hotelero y turístico, con especial atención a los hoteles brasileños y expandiéndose a los mercados de habla hispana. Activo desde 2015, RevengeHotels es conocido por robar datos de tarjetas de crédito de los huéspedes de los hoteles mediante campañas de phishing. En esta última actividad, el grupo ha evolucionado significativamente sus operaciones al aprovechar los agentes de modelos de lenguaje grande (LLM) para generar partes de su código malicioso y señuelos de phishing, lo que indica una tendencia creciente de los ciberdelincuentes a explotar la IA para mejorar sus capacidades de ataque. Las nuevas campañas se basan en correos electrónicos de phishing con temas de facturas o solicitudes de empleo falsas, redactados específicamente en portugués y español, y enviados a cuentas de correo electrónico administrativas y de reservas de hoteles. Las víctimas que hacen clic en los enlaces maliciosos son redirigidas a sitios web fraudulentos de almacenamiento de documentos, que descargan cargadores JavaScript. Estos archivos, a menudo identificables por su código limpio generado por LLM, marcadores de posición y extensos comentarios, inician la cadena de infección mediante la implementación de descargadores PowerShell y payloads posteriores.