Actores de amenazas atacan con HijackLoader y DeerStealer

Iniciado por AXCESS, Junio 16, 2025, 04:32:03 PM

Tema anterior - Siguiente tema

0 Miembros y 19 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 16, 2025, 04:32:03 PM Ultima modificación: Junio 16, 2025, 04:34:37 PM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han observado una nueva ola de ciberataques que involucran a HijackLoader y DeerStealer, utilizando tácticas de phishing para inducir a las víctimas a ejecutar comandos maliciosos.

Según la Unidad de Respuesta a Amenazas (TRU) de eSentire, que descubrió la campaña, esta utiliza ClickFix como vector de acceso inicial.

Las víctimas son redirigidas a una página de phishing que les solicita ejecutar un comando de PowerShell a través del símbolo del sistema de Windows. Este comando descarga un instalador llamado now.msi, que inicia una cadena de acciones que culmina en la ejecución de HijackLoader y la liberación de la carga útil de DeerStealer.

eSentire afirmó que HijackLoader ha estado activo desde 2023 y es conocido por su uso de esteganografía, específicamente ocultando datos de configuración en imágenes PNG.

Una vez ejecutado, el cargador explota binarios legítimos para ejecutar código malicioso sin firmar, inyectando finalmente DeerStealer en la memoria. Las amplias capacidades de robo de DeerStealer

DeerStealer, también comercializado como XFiles Spyware en foros de la dark web por el usuario LuciferXfiles, es un ladrón de información por suscripción con funciones que van mucho más allá del robo de credenciales.

El malware:

Extrae datos de más de 50 navegadores web

Secuestra más de 14 tipos de monederos de criptomonedas mediante la monitorización del portapapeles

Obtiene credenciales de programas de mensajería, FTP, VPN, correo electrónico y clientes de juegos

Incluye VNC oculto para acceso remoto sigiloso

Utiliza canales HTTPS cifrados para la comunicación de comando y control (C2)

El malware también incluye ofuscación modular y máquinas virtuales para descifrar cadenas, lo que dificulta las técnicas de análisis tradicionales.

Trucos de línea de comandos

El ataque comienza cuando el usuario ejecuta, sin darse cuenta, un comando codificado que obtiene el instalador.

Aunque el instalador utiliza un binario firmado de COMODO, carga una DLL manipulada para secuestrar la ejecución. Esta DLL alterada finalmente descifra la siguiente etapa, lo que inyecta DeerStealer en otro proceso legítimo.

A pesar de las herramientas públicas disponibles para descifrar la configuración de HijackLoader, los atacantes continúan utilizando los mismos métodos, lo que indica desconocimiento o indiferencia ante los riesgos de detección.

Amenaza en expansión, herramientas en evolución

eSentire advirtió que DeerStealer está en constante evolución, con nuevas funciones que incluyen compatibilidad con macOS, mejoras basadas en IA y nuevos objetivos de cliente.

Los actores de amenazas que se suscriben a planes de pago más altos (hasta $3000 al mes) reciben beneficios adicionales como reencriptación, firma de carga útil y personalización avanzada.

A medida que estas herramientas se vuelven más sofisticadas, los defensores deben mantenerse alerta.

El TRU de eSentire recomienda monitorear continuamente las amenazas y actualizar los mecanismos de protección de puntos finales para detectar cargadores y ladrones emergentes antes de que se produzca cualquier daño.

Fuente:
InfoSecurity
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario