Ciberseguridad 360 | CountLoader potencia ransomware ruso multiversión

Investigadores de ciberseguridad han descubierto un nuevo cargador de malware con el nombre en clave CountLoader que ha sido utilizado por bandas rusas de ransomware para distribuir herramientas de post-explotaci�n como Cobalt Strike y AdaptixC2, y un troyano de acceso remoto conocido como PureHVNC RAT.

"CountLoader est� siendo utilizado como parte de un conjunto de herramientas de Initial Access Broker (IAB) o por una filial de ransomware vinculada a los grupos de ransomware LockBit, Black Basta y Qilin", afirma Silent Push en un an�lisis.

La amenaza emergente, que aparece en tres versiones diferentes (.NET, PowerShell y JavaScript), se ha observado en una campa�a dirigida a individuos en Ucrania que utiliza se�uelos de phishing basados en PDF y se hace pasar por la Polic�a Nacional de Ucrania.

Vale la pena se�alar que la versi�n PowerShell del malware fue previamente se�alada por Kaspersky como distribuida utilizando se�uelos relacionados con DeepSeek para enga�ar a los usuarios para que lo instalen.

Los ataques, seg�n el proveedor ruso de ciberseguridad, llevaron al despliegue de un implante llamado BrowserVenom que puede reconfigurar todas las instancias de navegaci�n para forzar el tr�fico a trav�s de un proxy controlado por los actores de la amenaza, lo que permite a los atacantes manipular el tr�fico de red y recopilar datos.

La investigaci�n de Silent Push ha descubierto que la versi�n JavaScript es la implementaci�n m�s completa del cargador, ofreciendo seis m�todos diferentes para la descarga de archivos, tres m�todos diferentes para ejecutar varios binarios de malware y una funci�n predefinida para identificar el dispositivo de la v�ctima bas�ndose en la informaci�n del dominio de Windows.

El malware tambi�n es capaz de recopilar informaci�n del sistema, configurar la persistencia en el host mediante la creaci�n de una tarea programada que se hace pasar por una tarea de actualizaci�n de Google para el navegador web Chrome, y conectarse a un servidor remoto para esperar nuevas instrucciones.

Esto incluye la capacidad de descargar y ejecutar cargas �tiles de instaladores DLL y MSI utilizando rundll32.exe y msiexec.exe, transmitir metadatos del sistema y eliminar la tarea programada creada. Los seis m�todos utilizados para descargar archivos implican el uso de curl, PowerShell, MSXML2.XMLHTTP, WinHTTP.WinHttpRequest.5.1, bitsadmin y certutil.exe.

"Mediante el uso de LOLBins como ?certutil? y ?bitsadmin?, y mediante la implementaci�n de un generador PowerShell de cifrado de comandos ?sobre la marcha?, los desarrolladores de CountLoader demuestran aqu� una comprensi�n avanzada del sistema operativo Windows y del desarrollo de malware", dijo Silent Push.

Un aspecto notable de CountLoader es que utiliza la carpeta de m�sica de la v�ctima como base para el malware. La versi�n .NET comparte cierto grado de similitud funcional con su hom�loga JavaScript, pero s�lo admite dos tipos de comandos diferentes (UpdateType.Zip o UpdateType.Exe), lo que indica que se trata de una versi�n reducida y despojada.

CountLoader est� apoyado por una infraestructura que comprende m�s de 20 dominios �nicos, con el malware sirviendo como un conducto para Cobalt Strike, AdaptixC2, y PureHVNC RAT, el �ltimo de los cuales es una oferta comercial de un actor de amenazas conocido como PureCoder. Vale la pena se�alar que PureHVNC RAT es un predecesor de PureRAT, que tambi�n se conoce como ResolverRAT.

Las �ltimas campa�as que distribuyen PureHVNC RAT han aprovechado la probada t�ctica de ingenier�a social ClickFix como vector de distribuci�n, atrayendo a las v�ctimas a la p�gina de phishing ClickFix a trav�s de falsas ofertas de trabajo, seg�n Check Point. El troyano se despliega mediante un cargador basado en Rust.

"El atacante atrajo a la v�ctima a trav�s de anuncios de trabajo falsos, lo que permiti� al atacante ejecutar c�digo PowerShell malicioso a trav�s de la t�cnica de phishing ClickFix", dijo la compa��a de ciberseguridad, describiendo PureCoder como el uso de un conjunto giratorio de cuentas de GitHub para alojar archivos que soportan la funcionalidad de PureRAT.

El an�lisis de los commits de GitHub ha revelado que la actividad se llev� a cabo desde la zona horaria UTC+03:00, que corresponde a muchos pa�ses, entre ellos Rusia.

El desarrollo se produce cuando el equipo de DomainTools Investigations ha descubierto la naturaleza interconectada del panorama del ransomware ruso, identificando movimientos de actores de amenazas entre grupos y el uso de herramientas como AnyDesk y Quick Assist, lo que sugiere solapamientos operativos.

"La lealtad a la marca entre estos operadores es d�bil, y el capital humano parece ser el principal activo, en lugar de cepas espec�ficas de malware", dijo DomainTools. "Los operadores se adaptan a las condiciones del mercado, se reorganizan en respuesta a las retiradas y las relaciones de confianza son fundamentales. Estos individuos elegir�n trabajar con gente que conocen, independientemente del nombre de la organizaci�n."

Fuente: thehackernews