Investigadores de ciberseguridad han detallado el funcionamiento interno de un cargador altamente evasivo llamado “in2al5d p3in4er” (léase: impresora no válida) que se utiliza para distribuir el malware Aurora de robo de información.
Aurora es un ladrón de información basado en Go que apareció en el panorama de las amenazas a finales de 2022. Se ofrece como malware básico a otros actores y se distribuye a través de vídeos de YouTube y sitios web falsos de descarga de software crackeado con SEO.
Al hacer clic en los enlaces presentes en las descripciones de los vídeos de YouTube, se redirige a la víctima a sitios web señuelo donde se le induce a descargar el malware bajo la apariencia de una utilidad aparentemente legítima.
El cargador analizado por Morphisec está diseñado para consultar el ID de proveedor de la tarjeta gráfica instalada en un sistema y compararlo con un conjunto de ID de proveedores permitidos (AMD, Intel o NVIDIA). Si el valor no coincide, el cargador se cierra.
En última instancia, el cargador descifra el payload final y lo inyecta en un proceso legítimo llamado “sihost.exe” mediante una técnica denominada process hollowing. Alternativamente, algunas muestras de loader también asignan memoria para escribir la carga útil descifrada e invocarla desde allí.
Otro aspecto crucial del cargador es su uso de Embarcadero RAD Studio para generar ejecutables para múltiples plataformas, lo que le permite eludir la detección.
En pocas palabras, los hallazgos muestran que los actores de la amenaza detrás de in2al5d p3in4er están aprovechando los métodos de ingeniería social para una campaña de alto impacto que emplea YouTube como canal de distribución de malware y dirige a los espectadores a sitios web falsos de aspecto convincente para distribuir el malware ladrón.
La noticia llega cuando Intel 471 ha descubierto otro cargador de malware, AresLoader, que se comercializa por 300 dólares al mes como un servicio para que los delincuentes distribuyan robos de información disfrazados de software popular mediante una herramienta de enlace. Se sospecha que el cargador ha sido desarrollado por un grupo vinculado al hacktivismo ruso.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian