Los investigadores de seguridad cibernética han descubierto un nuevo conteador de contexto de cargador de malware con nombre en código que ha utilizado las pandillas de ransomware rusas para entregar herramientas posteriores a la explotación como Cobalt Strike y AdaptIXC2, y un troyano de acceso remoto conocido como rata PureHVNC.
«El contexto se está utilizando como parte del conjunto de herramientas de un corredor de acceso inicial (IAB) o por un afiliado de ransomware con lazos con los grupos de ransomware Lockbit, Black Basta y Qilin», dijo Silent Push en un análisis.
Apareciendo en tres versiones diferentes: .NET, PowerShell y JavaScript, la amenaza emergente se ha observado en una campaña dirigida a individuos en Ucrania utilizando señuelos de phishing basados en PDF y hacerse pasar por la Policía Nacional de Ucrania.
Vale la pena señalar que la versión PowerShell del malware fue marcada previamente por Kaspersky como distribuida utilizando señuelos relacionados con Deepseek para engañar a los usuarios para que lo instalaran.
Los ataques, según el proveedor de ciberseguridad ruso, llevaron a la implementación de un implante llamado Browservenom que puede reconfigurar todas las instancias de navegación para forzar el tráfico a través de un proxy controlado por los actores de amenaza, permitiendo a los atacantes manipular el tráfico de la red y recopilar datos.
La investigación de Silent Push descubrió que la versión JavaScript es la implementación más desarrollada del cargador, que ofrece seis métodos diferentes para la descarga de archivos, tres métodos diferentes para ejecutar varios binarios de malware y una función predefinida para identificar el dispositivo de una víctima basado en la información del dominio de Windows.
El malware también es capaz de recopilar información del sistema, configurar la persistencia en el host creando una tarea programada que se hace pasar por una tarea de actualización de Google para el navegador web Chrome y conectarse a un servidor remoto para esperar más instrucciones.
Esto incluye la capacidad de descargar y ejecutar cargas útiles del instalador DLL y MSI usando rundll32.exe y msiexec.exe, transmitir metadatos del sistema y eliminar la tarea programada creada. Los seis métodos utilizados para descargar archivos implican el uso de Curl, PowerShell, msxml2.xmlhttp, winhttp.winhttprequest.5.1, bitsadmin y certutil.exe.
«Al usar lolbins como ‘certutil’ y ‘bitsadmin’, e implementando un generador de encriptación de encriptación de comando ‘on the Fly’, los desarrolladores de CountLoader demuestran aquí una comprensión avanzada del sistema operativo de Windows y el desarrollo de malware», dijo Silent Push.
Un aspecto notable de CountLoader es su uso de la carpeta de música de la víctima como campo de puesta en escena para el malware. El sabor .NET comparte cierto grado de crossover funcional con su contraparte de JavaScript, pero admite solo dos tipos diferentes de comandos (UpdateType.zip o UpdateType.exe), lo que indica una versión reducida y despojada.
CountLoader es compatible con una infraestructura que comprende más de 20 dominios únicos, con el malware que sirve como un conducto para Cobalt Strike, AdaptIXC2 y PureHVNC Rat, la última de las cuales es una oferta comercial de un actor de amenaza conocido como Purecoder. Vale la pena señalar que PureHVNC Rat es un predecesor de Purerat, que también se conoce como resolución.
Las recientes campañas que distribuyen PureHVNC RAT han aprovechado la táctica de ingeniería social de ClickFix probada como vector de entrega, con víctimas atraídas a la página de phishing de ClickFix a través de ofertas de trabajo falsas, por punto de control. El troyano se despliega mediante un cargador a base de óxido.
«El atacante atrajo a la víctima a través de anuncios de trabajo falsos, permitiendo al atacante ejecutar el código de PowerShell malicioso a través de la técnica de phishing de ClickFix», dijo la compañía de seguridad cibernética, que describe a Purecoder como utilizando un conjunto giratorio de cuentas GitHub para alojar archivos que respaldan la funcionalidad de Purerat.
El análisis de los compromisos de GitHub ha revelado que la actividad se llevó a cabo desde la zona horaria UTC+03: 00, que corresponde a muchos países, incluida Rusia, entre otros.
El desarrollo se produce cuando el Equipo de Investigaciones de Doma -Domaols ha descubierto la naturaleza interconectada del panorama de ransomware ruso, identificando los movimientos de los actores de amenazas entre los grupos y el uso de herramientas como Anydesk y asistencia rápida, lo que sugiere superposiciones operativas.
«La lealtad de la marca entre estos operadores es débil, y el capital humano parece ser el activo principal, en lugar de cepas de malware específicas», dijo Domainteols. «Los operadores se adaptan a las condiciones del mercado, la reorganización en respuesta a los derribos y las relaciones de confianza son críticos. Estas personas elegirán trabajar con personas que conocen, independientemente del nombre de la organización».