- Un nuevo cargador de malware personalizado escrito en JPHP está causando estragos
- La carga útil personalizada es difícil de detectar utilizando herramientas de ciberseguridad
- El cargador de malware puede implementar cargas útiles personalizadas según sea necesario
Trustwave SpiderLabs dice que ha hecho precisamente eso Revelado recientemente nueva forma de malware Conocido como Pronsis Loader, ya está causando problemas debido a su diseño y tácticas únicos.
Pronsis Loader utiliza JPHP, un lenguaje de programación menos conocido que rara vez utilizan los ciberdelincuentes, y también utiliza técnicas de instalación avanzadas, lo que dificulta la detección y mitigación de los sistemas de ciberseguridad.
JPHP, una variante del popular lenguaje PHP, rara vez se ve en el mundo del desarrollo de malware. Aunque PHP se usa comúnmente para aplicaciones web, su incorporación al desarrollo de malware de escritorio es inusual, lo que le da a Pronsis Loader la ventaja de evitar la detección.
JPHP: una opción poco común en el ciberdelito
Pronsis Loader puede evitar los sistemas de detección basados en firmas, que normalmente están diseñados para identificar los lenguajes de programación más comunes en el malware. JPHP le da al malware una capa de “sigilo” que le permite pasar desapercibido para muchas herramientas de seguridad.
El malware también utiliza ofuscación y Cifrado Formas de ocultar su presencia durante la etapa inicial de infección. Cuando se implementa, utiliza métodos sofisticados para evitar provocar ataques convencionales. antivirus Software y Protección de terminales Sistemas. El cargador primero se instala silenciosamente en el sistema, enmascarando sus actividades imitando procesos o aplicaciones legítimos, lo que dificulta la detección por parte de las herramientas de seguridad automatizadas y los analistas humanos.
Una vez instalado, Pronsis Loader puede descargar y ejecutar malware adicional, incluido… ransomwareO software espía o herramientas de minería de datos. Este enfoque modular hace que el malware sea muy flexible, lo que permite a los atacantes personalizar la carga útil final según el sistema o entorno de destino. Pronsis Loader es parte de una tendencia creciente en el desarrollo de malware en la que los atacantes utilizan cargadores como primer paso en ataques de varias etapas. Estos gestores de arranque, diseñados para introducir otro malware en el sistema, brindan flexibilidad a los atacantes.
Para combatir estas amenazas en evolución, los equipos de seguridad deben adoptar métodos de monitoreo y análisis más avanzados, como la detección basada en el comportamiento, que puede identificar el malware por sus acciones en lugar de solo por sus firmas de código. Además, las actualizaciones continuas de la inteligencia sobre amenazas pueden ayudar a identificar el uso de lenguajes y métodos raros como los utilizados en Pronsis Loader.
“Pronsis Loader representa un cambio significativo en la forma en que los ciberdelincuentes implementan malware, utilizando JPHP e instalaciones silenciosas para evadir los métodos de detección tradicionales”, dijo Sean Canady, Director Global, “Pronsis Loader representa un cambio marcado en la forma en que los ciberdelincuentes implementan malware, utilizando JPHP e instalaciones silenciosas para evadir los métodos de detección tradicionales. Su capacidad para entregar cargas útiles de alto riesgo como Lumma Stealer y Latrodectus lo hace particularmente peligroso”. De Trustwave SpiderLabs.
“Nuestra investigación revela no sólo las capacidades únicas del malware, sino también la infraestructura que se puede aprovechar en futuras campañas para brindar a los equipos de seguridad la oportunidad de fortalecer sus defensas”, agregó Canady.