wmtech logo

Variante nueva de RedLine Stealer disfrazada como trucos para juegos utilizando bytecode Lua para camuflaje

Luis Quiles
Luis Quiles
chart
Criptomonedas, Malware

Se ha descubierto un nuevo ladrón de información que aprovecha el bytecode Lua para añadir sigilo y sofisticación, según revelan los hallazgos de McAfee Labs.

La firma de ciberseguridad lo ha evaluado como una variante de un malware conocido llamado RedLine Stealer debido a que la dirección IP del servidor de comando y control (C2) ha sido identificada previamente como asociada con el malware.

RedLine Stealer, documentado por primera vez en marzo de 2020, suele ser entregado a través de campañas de correo electrónico y malvertising, ya sea directamente o a través de kits de explotación y malware cargador como dotRunpeX y HijackLoader.

El malware prefabricado es capaz de recolectar información de monederos de criptomonedas, software de VPN y navegadores web, como credenciales guardadas, datos de autocompletar, información de tarjetas de crédito y geolocalizaciones basadas en las direcciones IP de las víctimas.

A lo largo de los años, RedLine Stealer ha sido adoptado por varios actores de amenazas en sus cadenas de ataque, convirtiéndolo en una cepa prevalente que abarca América del Norte, América del Sur, Europa, Asia y Australia.

La secuencia de infección identificada por McAfee abusa de GitHub, utilizando dos de los repositorios oficiales de Microsoft para su implementación de la Biblioteca Estándar de C++ (STL) y vcpkg para alojar la carga útil del malware en forma de archivos ZIP.

Actualmente no se sabe cómo los archivos llegaron a ser subidos al repositorio, pero la técnica es una señal de que los actores de amenazas están utilizando la confianza asociada con repositorios confiables para distribuir malware. Los archivos ZIP ya no están disponibles para su descarga desde los repositorios de Microsoft.

El archivo ZIP («Cheat.Lab.2.7.2.zip» y «Cheater.Pro.1.6.0.zip») se hace pasar por un truco para juegos, lo que indica que es probable que los jugadores sean el objetivo de la campaña. Viene con un instalador MSI diseñado para ejecutar el bytecode Lua malicioso.

«Este enfoque proporciona la ventaja de ofuscar cadenas maliciosas y evitar el uso de scripts fácilmente reconocibles como wscript, JScript o scripts de PowerShell, mejorando así las capacidades de sigilo y evasión para el actor de amenazas», dijeron los investigadores Mohansundaram M. y Neil Tyagi.

En un intento de pasar el malware a otros sistemas, el instalador MSI muestra un mensaje instando a la víctima a compartir el programa con sus amigos para obtener la versión desbloqueada del software.

El ejecutable «compiler.exe» dentro del instalador, al ejecutar el bytecode Lua incrustado dentro del archivo «readme.txt» presente en el archivo ZIP, establece la persistencia en el host utilizando una tarea programada y deja caer un archivo CMD, que, a su vez, ejecuta «compiler.exe» bajo otro nombre «NzUw.exe».

En la etapa final, «NzUw.exe» inicia comunicaciones con un servidor de comando y control (C2) a través de HTTP, la dirección IP mencionada anteriormente atribuida a RedLine.

El malware funciona más como una puerta trasera, llevando a cabo tareas obtenidas del servidor C2 (por ejemplo, tomar capturas de pantalla) y exfiltrando los resultados de vuelta a él.

El método exacto mediante el cual se distribuyen los enlaces a los archivos ZIP es actualmente desconocido. A principios de este mes, Checkmarx reveló cómo los actores de amenazas están aprovechando la funcionalidad de búsqueda de GitHub para engañar a usuarios desprevenidos para que descarguen repositorios cargados de malware.

Este desarrollo se produce mientras Recorded Future detallaba una «operación de ciberdelincuencia de gran escala en ruso» que apunta a la comunidad de juegos y utiliza señuelos de juegos Web3 falsos para distribuir malware capaz de robar información sensible de usuarios de macOS y Windows, una técnica llamada phishing de trampa.

«La campaña implica la creación de proyectos de juegos Web3 de imitación con ligeras modificaciones de nombre y marca para aparecer legítimos, junto con cuentas falsas en redes sociales para reforzar su autenticidad», dijo Insikt Group.

server

«Las páginas web principales de estos proyectos ofrecen descargas que, una vez instaladas, infectan dispositivos con varios tipos de malware ‘infostealer’ como Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys o RisePro, dependiendo del sistema operativo.»

Esto también sigue a una oleada de campañas de malware dirigidas a entornos empresariales con cargadores como PikaBot y una nueva cepa llamada NewBot Loader.

«Los atacantes demostraron una amplia gama de técnicas y vectores de infección en cada campaña, con el objetivo de entregar la carga útil de PikaBot«, dijo McAfee.

Esto incluye un ataque de phishing que aprovecha el secuestro de conversaciones por correo electrónico y una vulnerabilidad de Microsoft Outlook llamada MonikerLink (CVE-2024-21413) para incitar a las víctimas a descargar el malware desde un recurso compartido SMB.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.