Se ha identificado una nueva ola de malware dirigido a instituciones financieras en Hong Kong, con Squidloader. Este cargador sigiloso despliega el Beacon Cobalt Strike y cuenta con tácticas avanzadas contra el análisis. En un nuevo aviso publicado el lunes, los investigadores de seguridad de Trellix dijeron que se ha observado que el malware evade casi toda la detección, por lo que es particularmente peligrosa para sus víctimas previstas. Cadena de ataque de varias etapas altamente evasiva La campaña de SquidLoader comienza con correos electrónicos de phishing de lanza específicos. Estos mensajes, escritos en mandarín, hacen pasar por instituciones financieras y contienen un archivo RAR protegido por contraseña como una factura. Una vez abierto, los usuarios encuentran un binario malicioso de PE camuflado como un documento de Microsoft Word. Este archivo, aunque visualmente engañoso, imita el legítimo «amdrsserv.exe» para ayudar en la ingeniería social. Una vez ejecutado, SquidLoader se incrusta en el sistema y comienza un proceso de infección en varias etapas en el que: auto unión para descifrar su carga útil interna resuelve dinámicamente las API de Windows críticas a través del código ofuscado inicializa una estructura personalizada basada en la pila para almacenar datos operativos ejecutan una variedad de rutinas de evasión diseñadas para el sandbox, la eliminación de sandbox, el deshielo y las herramientas de antivirus contactos a un comando remoto y el comando de almacenamiento y el comando (c2) diseñados y el sandbox bypass (CO2) diseñados para el sandbox, el comando de las coberturas de la cobertura y las holraje remotas de los contactos remotos de los comando y el comando (c2). Strike Beacon Leer más sobre las técnicas de evasión de malware: los grupos de ransomware priorizan la evasión de defensa para la exfiltración de datos Anti-análisis extenso y la evasión de la evasión. Utiliza controles ambientales, ofuscación de cadenas, confusión de flujo de control y syscalls indocumentados de Windows para mantenerse ocultos. El malware se termina si se detectan herramientas de análisis o procesos antivirus conocidos, incluidos «windbg.exe», «ida64.exe» y «msmpeng.exe». Para evitar emuladores y cajas de arena automatizadas, Squidloader lanza hilos con largas duraciones de sueño y emplea llamadas de procedimientos asíncronos para monitorear un comportamiento anormal. Si algún cheque falla o el sistema muestra signos de depuración, el malware sale. Otra táctica incluye mostrar un mensaje de error falso en mandarín, «el archivo está dañado y no se puede abrir», lo que requiere la interacción del usuario, lo que impide aún más el análisis automatizado. Después de estas verificaciones, SquidLoader contacta a un servidor C2 utilizando una URL que imita las rutas de servicio de Kubernetes, que probablemente se combinen con el tráfico empresarial normal. Luego reúne y transmite datos de host, incluido el nombre de usuario, la dirección IP, la versión del sistema operativo y el estado administrativo. Finalmente, descarga una baliza de Strike Cobalt de una dirección IP secundaria, otorgando acceso remoto persistente a los atacantes. La campaña se enfoca geográficamente, con fuertes indicadores de instituciones de orientación en Hong Kong. Sin embargo, muestras similares sugieren que los ataques relacionados pueden estar en marcha en Singapur y Australia. Para defenderse de amenazas como el cargador de calamares, las organizaciones deben considerar fortalecer el filtrado de correo electrónico, el monitoreo de puntos finales y las capacidades de análisis de comportamiento.