Se ha observado que los actores de amenaza detrás del malware del socio de malware aprovechan los sistemas de distribución de tráfico (TDS) como Parrot TDS y Keitaro TDS para filtrar y redirigir a los usuarios desprevenidos a contenido incompleto.
«El núcleo de su operación es un modelo sofisticado de malware como servicio (MAAS), donde los sistemas infectados se venden como puntos de acceso iniciales a otras organizaciones cibercriminales», dijo Silent Push en un análisis.
Socgholish, también llamado FakeUpdates, es un malware del cargador JavaScript que se distribuye a través de sitios web comprometidos al disfrazarse como actualizaciones engañosas para navegadores web como Google Chrome o Mozilla Firefox, así como otros software como Adobe Flash Player o Microsoft Teams. Se atribuye a un actor de amenaza llamado TA569, que también se rastrea como preludio de oro, tempestad de mostaza, púrpura Vallhund y UNC1543.
Las cadenas de ataque implican la implementación de Socgholish para establecer el acceso inicial y el corredor que comprometió el acceso del sistema a una clientela diversa, incluido Evil Corp (también conocido como Dev-0243), Lockbit, Didex y Raspberry Robin (también conocido como Roshtyak). Curiosamente, las campañas recientes también han aprovechado Raspberry Robin como un vector de distribución para Socgholish.
«Las infecciones sociales generalmente se originan en sitios web comprometidos que se han infectado de múltiples maneras diferentes», dijo Silent Push. «Las infecciones del sitio web pueden involucrar inyecciones directas, donde la entrega de carga útil del socio inyecta JS cargada directamente desde una página web infectada o mediante una versión de la inyección directa que utiliza un archivo JS intermedio para cargar la inyección relacionada».
Además de redirigir a los dominios sociales a través de sitios web comprometidos, otra fuente primaria de tráfico implica el uso de TDSE de terceros como TDS de Parrot y Keitaro TDS para dirigir el tráfico web a sitios web específicos o en páginas de destino después de realizar huellas dactilares extensas del visitante del sitio y determinar si son intereses basados en ciertos criterios predefinidos.
Keitaro TDS ha estado involucrado durante mucho tiempo en la actividad de amenazas que van más allá de la malvertición y las estafas para ofrecer malware más sofisticado, incluidos kits de exploits, cargadores, ransomware y operaciones de influencia rusa. El año pasado, InfloBlox reveló cómo Socgholish, un socio de Vextrio, usó Keitaro para redirigir a las víctimas a los TDSE de Vextrio.
«Debido a que Keitaro también tiene muchas aplicaciones legítimas, con frecuencia es difícil o imposible simplemente bloquear el tráfico a través del servicio sin generar falsos positivos excesivos, aunque las organizaciones pueden considerar esto en sus propias políticas», señaló Pruebepoint en 2019.
Se cree que Keitaro TDS está conectado a TA2726, que ha funcionado como proveedor de tráfico tanto para Socgholish como para TA2727 al comprometer sitios web e inyectar un enlace de Keitaro TDS, y luego venderlo a sus clientes.
«El marco intermedio C2 (comando y control) genera dinámicamente las cargas útiles que las víctimas se descargan en tiempo de ejecución», señaló Silent Push.
«Es esencial tener en cuenta que a través del marco de ejecución, desde la inyección inicial de Socgholish hasta la ejecución en el dispositivo del implante de Windows, todo el proceso es continuamente rastreado por el marco C2 de Socgholish. Si, en cualquier momento, el marco determina que un víctima dado no es» legítimo «, detendrá la porción de una carga de pago».
La compañía de seguridad cibernética también ha evaluado que posiblemente hay ex miembros involucrados en Dridex, Raspberry Robin y Socgholish, dada la naturaleza superpuesta de las campañas observadas.
El desarrollo se produce cuando ZScaler detalló una versión actualizada de Raspberry Robin que presenta métodos de ofuscación mejorados, cambios en su proceso de comunicación de red e incrusta apuntar a los dominios Tor C2 corruptos intencionalmente, señalando esfuerzos continuos para evitar la detección y obstaculizar los esfuerzos de ingeniería inversa.
«El algoritmo de cifrado de red ha cambiado de AES (modo CTR) a Chacha-20», dijo la compañía. «Raspberry Robin ha agregado una nueva exploit de escalada de privilegios locales (LPE) (CVE-2024-38196) para obtener privilegios elevados en los sistemas específicos».
La divulgación también sigue a una evolución de los ataques de Stealer Darkcloud que emplean correos electrónicos de phishing para entregar una versión confusex protegida de la carga útil del robador escrita en Visual Basic 6, que se lanza y ejecutan utilizando una técnica llamada Process Hollowing.
«Darkcloud Stealer es típico de una evolución en los cibernéticos, aprovechando las técnicas de ofuscación y las intrincadas estructuras de carga útil para evadir los mecanismos de detección tradicionales», dijo la unidad 42. «El cambio en los métodos de entrega observados en abril de 2025 indica una estrategia de evasión en evolución».