Los investigadores de ciberseguridad advierten una nueva campaña que aprovecha las versiones descifradas del software como un señuelo para distribuir robadores de información como Lumma y ACR Stealer.
El Centro de Inteligencia de Seguridad de AhnLab (ASEC) dijo que ha observado un aumento en el volumen de distribución de ACR Stealer desde enero de 2025.
Un aspecto notable del malware del robador es el uso de una técnica llamada resolución de Drop Drop para extraer el servidor real de comando y control (C2). Esto incluye confiar en servicios legítimos como Steam, Telegram’s Telegraph, Google Forms y Google Slides.
«Los actores de amenaza ingresan al dominio C2 real en la codificación Base64 en una página específica», dijo ASEC. «El malware accede a esta página, analiza la cadena y obtiene la dirección del dominio C2 real para realizar comportamientos maliciosos».
ACR Stealer, previamente distribuido a través de malware del cargador de secuestro, es capaz de cosechar una amplia gama de información de sistemas comprometidos, incluidos archivos, datos del navegador web y extensiones de billetera de criptomonedas.
El desarrollo se produce cuando ASEC reveló otra campaña que usa archivos con la extensión «MSC», que puede ser ejecutada por la Consola de administración de Microsoft (MMC), para entregar el malware Rhadamanthys Stealer.
«Hay dos tipos de malware MSC: uno explota la vulnerabilidad de APDS.DLL (CVE-2024-43572), y el otro ejecuta el comando ‘Comando’ utilizando el Task-Taskpad de consola», dijo la compañía surcoreana.
«El archivo MSC está disfrazado de un documento MS Word». Cuando se hace clic en el botón ‘Abrir’, descarga y ejecuta un script PowerShell desde una fuente externa. El script de PowerShell descargado contiene un archivo exe (Rhadamanthys) «.
CVE-2024-43572, también llamado Grimresource, fue documentado por primera vez por los laboratorios de seguridad elásticos en junio de 2024 que fue explotado por actores maliciosos como un día cero. Fue parcheado por Microsoft en octubre de 2024.
Las campañas de malware también se han observado explotando plataformas de soporte de chat como Zendesk, disfrazándose de los clientes para engañar a los agentes de soporte desprevenidos para que descarguen un robador llamado Zhong Stealer.
Según un informe reciente publicado por Hudson Rock, más de 30,000,000 de computadoras han sido infectadas por robadores de información en los «últimos años», lo que lleva al robo de credenciales corporativas y cookies de sesiones que luego podrían venderse por cibercriminales en foros subterráneos a otros actores con fines de lucro.
Los compradores podrían armar el acceso que brindan estas credenciales para organizar las acciones posteriores a la explotación, lo que lleva a riesgos severos. Estos desarrollos sirven para resaltar el papel desempeñado por Stealer Malware como un vector de acceso inicial que proporciona un punto de apoyo a entornos corporativos sensibles.
«Por tan solo $ 10 por registro (computadora), los ciberdelincuentes pueden comprar datos robados de empleados que trabajan en sectores de defensa y militar clasificados», dijo Hudson Rock. «La inteligencia de InfoTealer no se trata solo de detectar quién está infectado, se trata de comprender la red completa de credenciales comprometidas y riesgos de terceros».
Durante el año pasado, los actores de amenazas también han estado aumentando los esfuerzos para difundir una variedad de familias de malware, incluidos los robadores y troyanos de acceso remoto (ratas), a través de una técnica llamada ClickFix que a menudo implica redirigir a los usuarios a páginas de verificación de captcha falsas que les instruyen a copiar y ejecutar comandos nefastos de PowerShell.
Una de esas cargas útiles descartadas es I2PRAT, que emplea la red de anonimato I2P para anonimizar su servidor C2 final.
«El malware es una amenaza avanzada compuesta de múltiples capas, cada una incorporando mecanismos sofisticados», dijo Sekoia. «El uso de una red de anonimización complica el seguimiento y dificulta la identificación de la magnitud de la amenaza y se propaga en la naturaleza».