Los investigadores de seguridad de Group-IB han revelado las operaciones de un actor de amenazas conocido como Boolka, cuyas actividades implican la implementación de malware sofisticado y la participación en ataques web. Según un aviso publicado por la compañía el viernes, se ha observado que el grupo explota vulnerabilidades mediante ataques de inyección SQL desde 2022, dirigidos a sitios web de varios países. Los scripts maliciosos inyectados en estos sitios web están diseñados para robar datos interceptando las entradas de los usuarios. En enero de 2024, los analistas del Grupo IB identificaron una página de destino vinculada a las operaciones de Boolka, que distribuía el troyano modular BMANAGER. Este descubrimiento llevó a desenmascarar la plataforma de entrega de malware de Boolka, que aprovecha el marco BeEF. La plataforma utiliza una página de administración de Django modificada, lo que destaca la destreza técnica detrás de las operaciones de Boolka. El JavaScript malicioso inyectado por Boolka captura las entradas de los usuarios de los sitios web infectados y filtra información confidencial, como contraseñas y nombres de usuarios, al servidor del actor de la amenaza. El análisis también reveló el enfoque dinámico de Boolka a la hora de actualizar sus guiones. A finales de 2023, se mejoraron sus cargas útiles para incluir nuevas comprobaciones y funcionalidades, como la creación de elementos ocultos en páginas web para evadir la detección. Una investigación más profunda sobre la infraestructura de Boolka descubrió múltiples nombres de dominio utilizados para lanzar ataques de malware. En marzo de 2024, la plataforma de entrega de malware de Boolka distribuía activamente el troyano BMANAGER en la naturaleza. Este troyano destaca por su diseño modular, que le permite realizar una variedad de actividades maliciosas, incluida la filtración de datos, el registro de teclas y el robo de archivos. Lea más sobre los ladrones de información: Phemedrone Stealer apunta a fallas de Windows Defender a pesar del parche La suite de malware BMANAGER incluye varios componentes como BMREADER, BMLOG, BMHOOK y BMBACKUP. Cada módulo tiene una función específica, desde registrar pulsaciones de teclas hasta robar archivos, que en conjunto mejoran la capacidad del actor de amenazas para extraer información valiosa de los sistemas infectados. Según Group-IB, el uso de PyInstaller y Python 3.11 en la creación de estos módulos también indica altos niveles de sofisticación y personalización en las capacidades de desarrollo de malware de Boolka. Para defenderse contra el troyano BMANAGER y amenazas similares, las organizaciones deben mantener sus sistemas y aplicaciones actualizados con los últimos parches de seguridad, utilizar soluciones antivirus y de protección de terminales avanzadas, monitorear el tráfico de red y emplear sistemas de detección de intrusiones, y educar a los empleados sobre el phishing y las prácticas de navegación segura. .