22 de julio de 2024Sala de prensaVulnerabilidad / Malware El malware descargador de JavaScript conocido como SocGholish (también conocido como FakeUpdates) se está utilizando para distribuir un troyano de acceso remoto llamado AsyncRAT, así como un proyecto legítimo de código abierto llamado BOINC. BOINC, abreviatura de Berkeley Open Infrastructure Network Computing Client, es una plataforma de «computación voluntaria» de código abierto mantenida por la Universidad de California con el objetivo de llevar a cabo «computación distribuida de alto rendimiento a gran escala» utilizando computadoras domésticas participantes en las que está instalada la aplicación. «Es similar a un minero de criptomonedas en ese sentido (utiliza recursos de la computadora para hacer el trabajo), y en realidad está diseñado para recompensar a los usuarios con un tipo específico de criptomoneda llamada Gridcoin, diseñada para este propósito», dijeron los investigadores de Huntress Matt Anderson, Alden Schmidt y Greg Linares en un informe publicado la semana pasada. Estas instalaciones maliciosas están diseñadas para conectarse a un dominio controlado por el actor («rosettahome»).[.]cn» o «rosettahome»[.]top»), actuando esencialmente como un servidor de comando y control (C2) para recopilar datos del host, transmitir cargas útiles y enviar comandos adicionales. Al 15 de julio, 10.032 clientes están conectados a los dos dominios. La empresa de ciberseguridad dijo que, si bien no ha observado ninguna actividad de seguimiento o tareas ejecutadas por los hosts infectados, planteó la hipótesis de que «las conexiones del host podrían venderse como vectores de acceso inicial para que otros actores las utilicen y potencialmente para ejecutar ransomware». Las secuencias de ataque de SocGholish suelen comenzar cuando los usuarios llegan a sitios web comprometidos, donde se les solicita que descarguen una actualización falsa del navegador que, al ejecutarse, desencadena la recuperación de cargas útiles adicionales a las máquinas infiltradas. El descargador de JavaScript, en este caso, activa dos cadenas inconexas, una que conduce a la implementación de una variante sin archivos de AsyncRAT y la otra que da como resultado la instalación de BOINC. La aplicación BOINC, que se renombra como «SecurityHealthService.exe» o «trustedinstaller.exe» paraEl uso indebido de BOINC con fines maliciosos no ha pasado desapercibido para los encargados del proyecto, que actualmente están investigando el problema y encontrando una forma de «derrotar este malware». La evidencia del abuso se remonta al menos al 26 de junio de 2024. «La motivación y la intención del actor de la amenaza al cargar este software en los hosts infectados no está clara en este momento», dijeron los investigadores. «Los clientes infectados que se conectan activamente a servidores BOINC maliciosos presentan un riesgo bastante alto, ya que existe la posibilidad de que un actor de amenazas motivado haga un mal uso de esta conexión y ejecute cualquier cantidad de comandos o software malicioso en el host para aumentar aún más los privilegios o moverse lateralmente a través de una red y comprometer un dominio completo». El desarrollo se produce cuando Check Point dijo que ha estado rastreando el uso de JavaScript V8 compilado por parte de los autores de malware para eludir las detecciones estáticas y ocultar troyanos de acceso remoto, ladrones, cargadores, mineros de criptomonedas, limpiadores y ransomware. «En la batalla continua entre los expertos en seguridad y los actores de amenazas, los desarrolladores de malware siguen ideando nuevos trucos para ocultar sus ataques», dijo el investigador de seguridad Moshe Marelus. «No es sorprendente que hayan comenzado a utilizar V8, ya que esta tecnología se utiliza comúnmente para crear software, ya que está muy extendida y es extremadamente difícil de analizar». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.