Recientemente se ha identificado a los infostealer Raccoon y Vidar utilizar una "infraestructura grande y resistente" que comprende más de 250 dominios para distribuir estos malware desde principios de 2020.
Al momento, no está claro a quién podría asociarse esta infraestructura. Los analistas de Sekoia.io evalúan que es plausible que esta infraestructura sea operada por un ciberactor que ejecuta un Sistema de distribución de tráfico (TDS), cuyos clientes pagan por el servicio para distribuir sus compilaciones de malwares. También es probable que esta infraestructura sea operada por un equipo de intrusión que distribuya sus propias compilaciones de malwares.
Los métodos de distribución utilizados para propagar estos infostealers son variados, desde malspam hasta instaladores falsos. La mayoría de las cadenas de infección aprovechan las técnicas de ingeniería social para atraer a las víctimas para que descarguen y ejecuten las cargas maliciosas.
Cadenas de infección
Un esquema común para engañar a la víctima es un tutorial que demuestra cómo instalar un software crackeado, que resulta ser un ladrón de información.
Para el método de distribución, la víctima ingresa a un sitio web malicioso promocionado a través de un anuncio de Google, SEO envenenado (optimización de motores de búsqueda), o compartido en un espacio comunitario legítimo.
Para ayudar a la víctima a comprometer su sistema, el tutorial a menudo describe paso a paso cómo desactivar el software antivirus, descargar el instalador falso y ejecutarlo.
Investigadores de sekoia.io dieron a conocer una infraestructura grande y resistente utilizada para distribuir los infostealer de Raccoon y Vidar. La cadena de infección asociada, aprovechando esta infraestructura de más de 250 dominios, utiliza alrededor de un centenar de sitios web de catálogos de software crackeados falsos que redirigen a varios enlaces antes de descargar la carga útil alojada en plataformas para compartir archivos, como GitHub.
Ilustración 1. Distribución de malware/botnets asociados con cargas útiles alojadas en GitHub
Si la víctima descomprime el archivo RAR y ejecuta el supuesto ejecutable de instalación que contiene, cualquiera de las dos familias de malware, Raccoon o Vidar, se instala en el sistema.
Los investigadores recopilaron más de 120 muestras distribuidas por esta cadena de infección, que corresponden a muestras de Raccoon o Vidar Stealer, de 6 botnets únicas. La mayoría de los archivos protegidos con contraseña están alojados en GitHub, en más de una docena de cuentas.
Para mayor información relacionada a infostealer, se recomienda revisar el siguientes enlaces:
MITRE ATT&CK TTP relacionados con infraestructura que distribuye a los ladrones de información
Táctica |
Técnica |
Desarrollo de recursos |
T1583.001 – Adquirir Infraestructura: Dominios |
Desarrollo de recursos |
T1583.004 – Adquirir Infraestructura: Servidor |
Desarrollo de recursos |
T1588.001 – Obtener Capacidades: Malware |
Desarrollo de recursos |
T1588.002 – Obtener Capacidades: Herramienta |
Desarrollo de recursos |
T1608.006 – Capacidades de etapa: envenenamiento de SEO |
Ejecución |
T1204.002 – Ejecución del usuario: archivo malicioso |
Evasión de defensa |
T1027 – Información o archivos ofuscados |
Evasión de defensa |
T1036 – Enmascaramiento |
Evasión de defensa |
T1497.003 – Virtualización/evasión de sandbox: evasión basada en el tiempo |
Evasión de defensa |
T1562.001 – Debilitar defensas: deshabilitar o modificar herramientas |
Evasión de defensa |
T1622 – Evasión del depurador |
Comando y control |
T1102 – Servicio Web |
Se recomienda a los usuarios que se abstengan de descargar software ilegal y apliquen la autenticación multifactor siempre que sea posible para fortalecer las cuentas.
ENTEL Weekly Threat Intelligence Brief del 16 al 22 de enero de 2023 |
Ciberactores explotan vulnerabilidad de fortinet como zero-day
|
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: