Expansión de las Operaciones de More_eggs MaaS: RevC2 Backdoor y Venom Loader

Los actores de amenazas detras del malware More_eggs han ampliado su operación de Malware-as-a-Service (MaaS) con la incorporación de dos nuevas familias de malware: RevC2 Backdoor y Venom Loader. Esta evolución subraya el esfuerzo continuo por diversificar y fortalecer su arsenal de herramientas maliciosas.

Características de RevC2 y Venom Loader

RevC2 Backdoor: Una Nueva Amenaza Roba-Información

RevC2 es un avanzado backdoor diseñado para el robo de información confidencial. Según el investigador Muhammed Irfan V A, del equipo de ThreatLabz de Zscaler, este malware se comunica con su servidor de comando y control (C2) utilizando WebSockets y está equipado con capacidades como:

  • Robo de contraseñas y cookies de navegadores basados en Chromium.
  • Ejecución remota de código (RCE).
  • Proxy de tráfico de red utilizando SOCKS5.
  • Ejecución de comandos como un usuario diferente.
  • Captura de pantallas.
Venom Loader: Personalización para Cada Víctima

Venom Loader es un cargador de malware que se destaca por personalizar sus cargas útiles para cada víctima, codificando el payload basado en el nombre del equipo de la misma. Este enfoque complica su detección y análisis por parte de los investigadores.

Campañas Recientes

Entre agosto y octubre de 2024, los investigadores observaron dos campañas principales utilizando estas herramientas:

  1. Campaña con RevC2: Inicia con VenomLNK, un vector de acceso inicial que ejecuta el backdoor tras desplegar una imagen PNG como señuelo.
  2. Campaña con Venom Loader: También comienza con VenomLNK, pero despliega Venom Loader para ejecutar una versión ligera de More_eggs conocida como More_eggs lite, enfocada exclusivamente en capacidades de RCE.
Contexto y Tendencias

El actor de amenazas responsable de estas campañas, identificado como Venom Spider (tambien conocido como Golden Chickens), continúa perfeccionando su kit de herramientas pese a recientes detenciones de operadores en Canadá y Rumania.

Este hallazgo coincide con la revelación de un cargador de malware fileless denominado PSLoramyra por parte de ANY.RUN. Este nuevo malware aprovecha herramientas como PowerShell, VBS y BAT scripts para ejecutar cargas maliciosas directamente en la memoria, subrayando una tendencia hacia métodos cada vez más avanzados y persistentes.

Implicaciones para las Empresas

La sofisticación y personalización de estas herramientas enfatizan la importancia de mantener medidas de ciberseguridad robustas. Las empresas deben:

  • Implementar sistemas de detección de amenazas actualizados.
  • Capacitar a sus empleados para identificar posibles vectores de ataque como archivos LNK sospechosos.
  • Adoptar estrategias de defensa en profundidad que incluyan segmentación de red y monitoreo continuo.

La evolución de More_eggs y sus herramientas afiliadas representa un claro recordatorio de la adaptabilidad y creatividad de los ciberdelincuentes, exigiendo una vigilancia constante en el panorama de la ciberseguridad.

 

Related Posts
Clear Filters

Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de…

La empresa multinacional de telecomunicaciones Telefónica ha confirmado que su sistema interno de gestión de tickets fue vulnerado, lo que…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.