Los investigadores de ciberseguridad de KrakenLabs de Outpost24 han observado una campaña de malware nueva y única que parece valorar la cantidad sobre la calidad.
Normalmente, cuando los piratas informáticos comprometen un dispositivo, implementan una sola pieza de… malware Intentan en la medida de lo posible permanecer invisibles y persistentes, mientras utilizan la computadora para cualquier objetivo final que tengan.
Pero esta nueva campaña, denominada Unfurling Hemlock, hace justo lo contrario: la destaca en el mundo del cibercrimen. Una vez que una víctima ejecuta el archivo ejecutable del malware, en este caso llamado “EXTRACT.EXE”, recibe un puñado de malware, software de robo de información y archivos de malware diferentes, dicen los investigadores.
Bomba de racimo de malware
Las probabilidades de que las soluciones de ciberseguridad detecten malware son altas, pero los investigadores creen que los atacantes esperan que al menos algunas de las cargas útiles sobrevivan al proceso de desinfección. Entre los que se caen en los dispositivos se encuentran Redline (un ladrón popular), RisePro (un ladrón próximo), Mystic Stealer (un ladrón malicioso como servicio), Amadey (un descargador), SmokeLoader (otro descargador) y Protective Disabler (una utilidad). que deshabilita Windows Defender y otras características de seguridad), Enigma Packer (una herramienta de ofuscación), Healer (una solución de seguridad) y Performance Checker (una utilidad que verifica y registra el rendimiento de ejecución de malware).
Los investigadores dijeron que esta “dañina bomba de racimo” fue detectada por primera vez en febrero de 2024, y afirmaron haber visto más de 50.000 archivos de bombas de racimo, todos con características únicas que los vinculan con la cicuta desplegable.
KrakenLabs no ha podido determinar con certeza quiénes son los actores de amenazas detrás de Unfurling Hemlock, pero están bastante seguros de que son de origen de Europa del Este. La evidencia que indica esta tendencia incluye el uso del idioma ruso en algunas muestras y el uso del sistema autónomo 203727, relacionado con el servicio de alojamiento comúnmente utilizado por los grupos de ciberdelincuencia en la región.
Afortunadamente, el malware impulsado a través de esta campaña es bien conocido y la mayoría de los programas antivirus de buena reputación lo marcarán.
a través de pitidocomputadora