Las autoridades policiales han anunciado que rastrearon a los clientes del malware Smokeloader y detuvieron al menos a cinco personas.
«En una serie coordinada de acciones, los clientes de la botnet de pago por instalación de Smokeloader, operado por el actor conocido como ‘Superstar’, enfrentaron consecuencias como arrestos, búsquedas en la casa, órdenes de arresto o ‘golpes y charlas'», dijo Europol en un comunicado.
Se alega que Superstar ha ejecutado un servicio de pago por instalación que permitió a sus clientes obtener acceso no autorizado a las máquinas de víctimas, utilizando el cargador como un conducto para implementar cargas útiles de la próxima etapa de su elección.
Según la Agencia Europea de Aplicación de la Ley, el acceso que ofrece el Botnet se utilizó para diversos fines, como el keylogging, el acceso a la cámara web, la implementación de ransomware y la minería de criptomonedas.
La última acción, parte de un ejercicio coordinado en curso llamado Operation Endgame, que condujo al desmantelamiento de la infraestructura en línea asociada con múltiples operaciones de cargadores de malware como ICEDID, SystemBC, Pikabot, Smokeloader, Bumblebee y TrickBot el año pasado.
Canadá, la República Checa, Dinamarca, Francia, Alemania, los Países Bajos y los Estados Unidos participaron en el esfuerzo de seguimiento que pretende centrarse en el «lado de la demanda» del ecosistema del delito cibernético.
Las autoridades, según Europol, rastrearon a los clientes registrados en una base de datos que fue incautada anteriormente, vinculando sus personajes en línea con personas de la vida real y los llamaron para interrogarlos. Se cree que un número no especificado de sospechosos optó por cooperar y examinar sus dispositivos personales para recopilar evidencia digital.
«Varios sospechosos revenden los servicios comprados a Smokeloader en un marcado, agregando así una capa adicional de interés a la investigación», dijo Europol. «Algunos de los sospechosos habían asumido que ya no estaban en el radar de la policía, solo para llegar a la dura comprensión de que todavía estaban siendo atacados».
Los cargadores de malware vienen en diferentes formas
El desarrollo se produce cuando Symantec, propiedad de Broadcom, reveló detalles de una campaña de phishing que emplea el formato de archivo Windows ScreenSaver (SCR) para distribuir un cargador de malware basado en Delphi llamado Modiloader (también conocido como DBATLoader y Natsoloader) en las máquinas de las víctimas.
También coincide con una campaña web evasiva que engaña a los usuarios en la ejecución de archivos de Installer de Windows (MSI) malicioso para implementar otro malware del cargador denominado Legion Loader.
«Esta campaña utiliza un método llamado ‘Pastejacking’ o ‘secuestro de portapalones’ porque los espectadores se les indica que pegaría contenido en una ventana de ejecución», dijo Palo Alto Networks Unit 42, y agregó que aprovecha varias estrategias de tubos para evadir la detección a través de páginas de Captcha y disfrazando las páginas de descarga de malware como sitios de blog.
Las campañas de phishing también han sido un vehículo de entrega para KOI Loader, que luego se usa para descargar y ejecutar un robador de información llamado Koi Stealer como parte de una secuencia de infección en varias etapas.
«La utilización de capacidades anti-VM por malware como Koi Loader y Koi Stealer destaca la capacidad de las amenazas modernas para evadir el análisis y la detección por parte de analistas, investigadores y sandboxes», dijo Esentire en un informe publicado el mes pasado.
Y eso no es todo. Los últimos meses han sido testigos una vez más el regreso de Gootloader (también conocido como SlowPour), que se está extendiendo a través de resultados de búsqueda patrocinados en Google, una técnica vista por primera vez a principios de noviembre de 2024.
El ataque se dirige a los usuarios que buscan «plantilla de acuerdo de divulgación» en Google para publicar anuncios falsos que, cuando se hacen clic, se redirigen a un sitio («LawLiner (.) Com») donde se les pide que ingresen sus direcciones de correo electrónico para recibir el documento.
«Poco después de que ingresen su correo electrónico, recibirán un correo electrónico del abogado@skhm (.) Org, con un enlace a su documento de Word solicitado (DOCX)», según un investigador de seguridad que recibe el nombre de Gootloader y ha monitoreado de cerca al cargador de malware durante varios años.
«Si el usuario pasó todas sus puertas, descargará un archivo JavaScript con cremallera. Cuando el usuario desabrode y ejecute el archivo JavaScript, se produce el mismo comportamiento Gootloader».
También manchado es un descargador de JavaScript conocido como FakeUpdates (también conocido como Socgholish) que generalmente se propaga a través de tácticas de ingeniería social que engañan a los usuarios para instalar el malware disfrazando como una actualización legítima para navegadores web como Google Chrome.
«Los atacantes distribuyen malware utilizando recursos comprometidos, inyectando JavaScript malicioso en sitios vulnerables a hosts de huellas digitales, realizan verificaciones de elegibilidad y muestran páginas de actualización falsas», dijo Google. «El malware se entrega comúnmente a través de descargas de transmisión.
La vía de ataque de actualización del navegador falso también se ha observado distribuir otras dos familias de malware JavaScript llamadas FakesMuggles, que se llama así por el uso de contrabando HTML para entregar cargas útiles de la próxima etapa, como NetSupport Manager, y Faketreff, que se comunica con un servidor remoto a una carga útil adicional como Darkgate y envía información básica de host del host.