Cyble Research & Intelligence Labs (CRIL) ha descubierto el anuncio de un nuevo malware como servicio llamado ‘ManticoraLoader’ en el underground. Los actores de amenazas detrás del grupo DeadXInject han estado ofreciendo el servicio en foros underground y en su canal de Telegram desde el 8 de agosto de 2024. Los mismos actores de amenazas están detrás del desarrollo del infame AresLoader y, como informó CRIL, se observó que apuntaban a los usuarios de Citrix en abril de 2023. Anteriormente, los investigadores atribuyeron al mismo grupo de amenazas el desarrollo del ransomware AiDLocker a fines de 2022. Figura 1: anuncio de TA en el canal de Telegram. En una publicación detallada bajo el alias ‘DarkBLUP’, utilizado anteriormente para publicitar AresLoader en el foro XSS, los actores de amenazas describieron las funcionalidades, la lógica operativa y las pautas de uso de ManticoraLoader, una herramienta C. Figura 2: publicación de TA en el foro XSS. Características anunciadas sobre ManticoraLoader Se informa que ManticoraLoader es compatible con Windows 7 y versiones posteriores, incluido Windows Server, lo que le permite atacar una amplia gama de sistemas que aún se utilizan en la actualidad. Una de sus características clave es un módulo diseñado para recopilar información extensa de los dispositivos infectados, como la dirección IP, el nombre de usuario, el idioma del sistema, el software antivirus instalado, UUID y las marcas de fecha y hora. Esta información luego se transmite de regreso a un panel de control centralizado, lo que probablemente permite a los actores de amenazas perfilar a las víctimas, adaptar los ataques posteriores y mantener el control sobre los sistemas comprometidos. La amplia compatibilidad y las capacidades de reconocimiento detalladas sugieren que ManticoraLoader podría ser una herramienta versátil y potente en campañas cibernéticas sofisticadas. Figura 3: muestra de la interfaz de inicio de sesión del panel proporcionado por el TA. Los actores de amenazas afirman que ManticoraLoader puede colocar archivos en ubicaciones de inicio automático, lo que garantiza la persistencia en los sistemas comprometidos. Su diseño modular permite una fácil extensión de funcionalidades a pedido, lo que lo hace adaptable a varios objetivos maliciosos. El cargador afirma emplear técnicas de ofuscación sofisticadas para evadir la detección. El servicio se ofrece bajo términos estrictos, con una tarifa de alquiler mensual de USD 500. Figura 4: muestra de la interfaz del panel publicada por el TA Los actores de amenazas detrás de ManticoraLoader han establecido un proceso de transacción que utiliza el servicio de depósito en garantía del foro o el contacto directo a través de Telegram o TOX, con un límite estricto de 10 clientes. Esta exclusividad puede tener la intención de mantener el control y reducir la exposición. La tasa de detección informada del cargador de 0/39 en Kleenscan resalta sus capacidades de sigilo, probablemente debido a métodos de ofuscación sofisticados. Además, los actores de amenazas publicaron una demostración en video en su canal de Telegram para probar la capacidad del cargador para eludir la solución de sandbox de 360 ​​Total Security. Figura 5: Cargador analizado por el TA con CFF Explorer. Figura 6: muestra de elusión de detección de sandbox publicada por el TA. La relevancia continua de AresLoader A pesar del lanzamiento de ManticoraLoader, CRIL observa que AresLoader todavía está siendo empleado activamente por actores de amenazas. Figura 8 – Hallazgos de VT Conclusión El anuncio de ManticoraLoader como un nuevo MaaS junto con el AresLoader existente y en uso por parte de TA DarkBLUP tal vez tenga la intención de monetizar aún más su éxito con este último. Sin embargo, no está claro qué llevó a TA a permanecer inactivo durante más de un año, especialmente con su éxito consecutivo con el ransomware AiDLocker y AresLoader. Incluso las características publicitadas por ManticoraLoader, a partir de su observación inicial, parecen ser casi idénticas a la versión anterior. Sin embargo, si las afirmaciones de TA de lanzar este cargador con características mejoradas y avanzadas son correctas, entonces esto puede plantear un nuevo desafío cuando se trata de la detección exitosa de infecciones de botnets y ladrones, como observamos en las campañas de AresLaoder. Relacionado