Os contamos sobre algunos de los Malwares que han estado presente en lo que va de este año 2021.
Marzo:
Los expertos descubren un anuncio en un foro clandestino de un malware denominado BloodyStealer por sus creadores. El anuncio afirma que roba los siguientes datos de los dispositivos infectados:
- Contraseñas cookies, datos de tarjetas bancarias, datos de autocompletar del navegador
- Datos del dispositivo.
- Capturas de pantalla.
- Archivos de cliente de escritorio y uTorrent.
- Sesiones de clientes de Bethesda, Epic Games, GOG, Origin, Steam, Telegram y VimeWorld.
- Logs
Según los datos, el malware ha afectado a usuarios en Europa, América Latina y la región de Asia y el Pacífico, lo que no es tan sorprendente dado su modelo de distribución de malware como servicio (MaaS), lo que significa que cualquiera puede comprarlo y el precio es bastante bajo (alrededor de $ 10 por mes o aproximadamente $ 40 por una "licencia de por vida"). Además de sus funciones de robo, el malware tiene un conjunto de herramientas destinadas a frustrar el análisis. Envía información robada como un archivo ZIP al servidor C&C, que está protegido contra DDoS y otros ataques web. Los ciberdelincuentes utilizan el panel de control (bastante básico) o Telegram para obtener los datos, incluidas las cuentas de los jugadores. Abril: Malware de NOBELIUM, un post-exploit backdoor a la que Microsoft Threat Intelligence Center (MSTIC) se refiere como FoggyWeb.
NOBELIUM emplea múltiples tácticas para perseguir el robo de credenciales con el objetivo de obtener acceso de nivel de administrador a los servidores de Active Directory Federation Services (AD FS). Una vez que NOBELIUM obtiene las credenciales y compromete con éxito un servidor, el actor confía en ese acceso para mantener la persistencia y profundizar su infiltración utilizando software y herramientas sofisticadas. NOBELIUM utiliza FoggyWeb para exfiltrar de forma remota la base de datos de configuración de los servidores AD FS comprometidos, el certificado de firma de token descifrado y el certificado de descifrado de token, así como para descargar y ejecutar componentes adicionales
FoggyWeb es un backdoor pasivo y altamente dirigido capaz de extraer de forma remota información confidencial de un servidor AD FS comprometido. También puede recibir componentes maliciosos adicionales de un servidor de comando y control (C2) y ejecutarlos en el servidor comprometido.Julio: El 23 de julio apareció una publicación en un foro sobre un nuevo troyano bancario de Android. La investigación muestro que se llamaba ERMAC y se basa casi en su totalidad en el conocido troyano bancario Cerberus, y está siendo operado por actores de BlackRock. ERMAC inicia en el 17 de agosto, cuando un miembro del foro llamado "ermac" invitó a cualquier persona interesada en este tema a enviar un mensaje privado para hacer un trato. El usuario se registró el día anterior y publicó un anuncio similar en su perfil. Curiosamente, el iniciador del tema dijo que encontró el contacto 4 días antes. El mismo día, otro miembro del foro, "DukeEugene", publicó un mensaje en su cuenta: “La botnet de Android ERMAC. Alquilaré una nueva botnet de Android con una amplia funcionalidad a un círculo reducido de personas (10 personas). 3k $ por mes. Detalles en mensaje privado". DukeEugene es conocido como un actor detrás del troyano bancario BlackRock que descubrimos en 2020. DukeEugene afirmó ser uno de los actores poco después de que publicamos nuestro descubrimiento. Se pudo identificar varias campañas con ERMAC involucrado. La primera gran campaña comenzó a finales de agosto en la que ERMAC se hacía pasar por Google Chrome. También hemos visto a ERMAC haciéndose pasar por aplicaciones antivirus, bancarias y de reproducción de medios.
Septiembre:El equipo de ZeroFox Threat Intelligence descubrió una variante de ransomware llamada Colossus que afecta a las máquinas que ejecutan los sistemas operativos Microsoft Windows. La muestra tiene una serie de características, incluido el empaquetado binario a través de Themida y las capacidades de evasión de sandbox.
El ransomware tiene un sitio web de soporte para establecer comunicaciones con las víctimas, que probablemente se lanzó el 20 de septiembre de 2021. El ransomware comparte una estructura de nota de rescate similar a EpsilonRed, BlackCocaine y algunas notas de Sodinokibi / REvil. Al 24 de septiembre de 2021, Colossus tiene una víctima conocida actualmente en negociaciones activas, un grupo automotriz con sede en los Estados Unidos. Los operadores parecen al menos muy familiarizados, si no directamente asociados con otros grupos de ransomware-as-a-service (RaaS) existentes en función de sus tácticas, técnicas y procedimientos (TTP).