Underc0de - La Casa de los Informáticos

El malware SocGholish, también conocido como FakeUpdates, ha evolucionado en complejidad y alcance, utilizando ahora sistemas de distribución de tráfico (TDS) como Keitaro TDS y Parrot TDS para redirigir usuarios hacia contenido malicioso. Este enfoque altamente dirigido y automatizado forma parte de un sofisticado modelo de malware como servicio (MaaS) que amenaza tanto a usuarios individuales como a organizaciones.

Según un informe reciente de Silent Push, los sistemas infectados mediante SocGholish son vendidos como puntos de acceso iniciales a otras organizaciones cibercriminales, incluyendo grupos de ransomware como LockBit, Dridex, Evil Corp y Raspberry Robin.

¿Qué es SocGholish y cómo se propaga?

SocGholish es un malware basado en JavaScript que se propaga mediante sitios web legítimos comprometidos. Los usuarios son engañados para que descarguen falsas actualizaciones de software, como Google Chrome, Mozilla Firefox, Adobe Flash Player o incluso Microsoft Teams, pensando que están instalando actualizaciones necesarias, cuando en realidad están infectando sus sistemas.

Este malware ha sido atribuido a un grupo de amenazas persistentes conocido como TA569, también rastreado bajo los nombres Gold Prelude, Mustard Tempest, Purple Vallhund y UNC1543.

Sistemas TDS como herramienta clave de redirección maliciosa

Los sistemas de distribución de tráfico (TDS), como Keitaro TDS y Parrot TDS, se utilizan para filtrar el tráfico entrante a sitios comprometidos. Estos sistemas recolectan datos del visitante, como geolocalización, sistema operativo, navegador y más, y deciden en tiempo real si redirigir o no al usuario a una carga útil maliciosa.

Citar"La operación se basa en una extensa toma de huellas del usuario antes de decidir si entregarle el malware", explicó Silent Push.

Una vez identificado como objetivo potencial, el visitante es redirigido a un dominio malicioso operado por SocGholish, donde se ejecuta el script de infección en JavaScript, activando todo el proceso de compromiso.

Keitaro TDS: tráfico malicioso bajo apariencia legítima

Keitaro TDS es una plataforma comúnmente utilizada para marketing digital legítimo, pero ha sido adoptada por actores maliciosos debido a su flexibilidad y capacidad de segmentación avanzada. Esta plataforma permite dirigir tráfico específico a campañas de malware como kits de explotación, ransomware, cargadores y más.

Desde 2019, Proofpoint advirtió que Keitaro puede ser difícil de bloquear sin afectar servicios legítimos, lo que complica los esfuerzos de mitigación para las organizaciones.

Keitaro TDS ha sido vinculado al grupo TA2726, que actúa como proveedor de tráfico tanto para SocGholish como para TA2727, comprometiendo sitios web y redirigiendo a los usuarios mediante enlaces maliciosos incrustados en el código fuente.

Infecciones a través de Raspberry Robin y conexiones con otros grupos

Una tendencia preocupante es la integración de Raspberry Robin como vector de distribución adicional para SocGholish. Las campañas recientes muestran cómo Raspberry Robin redirige a víctimas potenciales hacia cargas útiles relacionadas con FakeUpdates, reforzando la idea de colaboración entre actores del cibercrimen.

Citar"Es probable que ex miembros de grupos como Dridex y Raspberry Robin estén trabajando activamente en campañas de SocGholish, dada la superposición de TTPs (tácticas, técnicas y procedimientos)", indicó Silent Push.

Además, se ha observado que el marco C2 (comando y control) de SocGholish realiza un monitoreo continuo del proceso de infección. Si el sistema considera que el objetivo no es "valioso" o no cumple con ciertos criterios, se aborta la entrega de la carga útil, reduciendo así la exposición del malware a investigadores y sandboxes.

Evolución de Raspberry Robin y otros actores

En paralelo, Zscaler informó sobre una versión actualizada de Raspberry Robin, con mejoras importantes en técnicas de evasión:

• Cambio del algoritmo de cifrado de red de AES-CTR a Chacha-20.
• Inclusión de un nuevo exploit de escalada de privilegios locales (CVE-2024-38196).
• Uso de dominios TOR C2 intencionalmente corruptos para dificultar el análisis.
• Estas mejoras reflejan una intención clara de evadir la detección y obstaculizar los esfuerzos de ingeniería inversa.

Amenazas complementarias: DarkCloud Stealer y el malware modular

Como parte de esta evolución en campañas cibercriminales, también se ha identificado DarkCloud Stealer, un malware distribuido por correos electrónicos de phishing que usa técnicas de evasión como vaciado de procesos y cargas protegidas con ConfuserEx, ejecutadas mediante Visual Basic 6.

Citar"DarkCloud representa una evolución en los métodos de entrega de malware, con estructuras de carga más intrincadas y técnicas de ofuscación diseñadas para esquivar antivirus tradicionales", explicó Unit 42.

La aparición simultánea de estas amenazas destaca una tendencia ascendente en la sofisticación de los ataques, con el uso combinado de malware como servicio, distribución mediante TDS y herramientas de evasión avanzada.

Un ecosistema de amenazas en expansión

El uso de sistemas como Keitaro TDS y Parrot TDS para distribuir malware como SocGholish marca un punto crítico en la evolución del malware como servicio (MaaS). La red de colaboración entre grupos como TA569, Evil Corp, Dridex y Raspberry Robin representa una amenaza significativa para organizaciones y usuarios finales, especialmente en entornos donde la visibilidad de tráfico y los controles de seguridad son limitados.

Las organizaciones deben:

• Fortalecer sus defensas perimetrales.
• Supervisar el tráfico web saliente y entrante.
• Implementar filtrado de contenido dinámico y detección basada en comportamiento.
• Capacitar a sus usuarios sobre técnicas de ingeniería social comunes.

Fuente: https://thehackernews.com/