Un recién descubierto ladrón de información ha sido detectado utilizando el bytecode de Lua para añadir sigilo y sofisticación, según los hallazgos de McAfee Labs.
La empresa de ciberseguridad lo ha identificado como una variante de un malware conocido como RedLine Stealer, ya que la dirección IP del servidor de comando y control (C2) ha estado asociada previamente con el malware.
RedLine Stealer, descubierto por primera vez en marzo de 2020, se propaga a través de campañas de correo electrónico y malvertising. Por lo general, se distribuye directa o indirectamente a través de kits de explotación y malware de carga, como dotRunpeX y HijackLoader.
Este malware tiene la capacidad de recolectar información de monederos de criptomonedas, software de VPN y navegadores web, tales como credenciales guardadas, datos de autocompletar, información de tarjetas de crédito y ubicaciones basadas en las direcciones IP de las víctimas.
A lo largo de los años, RedLine Stealer ha sido utilizado por varios actores de amenazas en sus cadenas de ataque, convirtiéndose en una cepa prevalente en América del Norte, América del Sur, Europa, Asia y Australia.
La secuencia de infección identificada por McAfee abusa de GitHub, utilizando dos repositorios oficiales de Microsoft para su implementación de la Biblioteca Estándar de C++ (STL) y vcpkg para alojar la carga maliciosa del malware en forma de archivos ZIP.
Actualmente no se sabe cómo los archivos se asociaron con los repositorios, pero la técnica es una señal de que los actores de amenazas están utilizando la confianza asociada con repositorios confiables para distribuir malware.
El malware funciona más como una puerta trasera, llevando a cabo tareas obtenidas del servidor de C2 (por ejemplo, tomar capturas de pantalla) y exfiltrando los resultados de vuelta a éste. Además, se desconoce el método por el cual se distribuyen los enlaces a los archivos ZIP. A principios de este mes, Checkmarx reveló cómo los actores de amenazas están aprovechando la funcionalidad de búsqueda de GitHub para engañar a los usuarios desprevenidos para que descarguen repositorios con malware.
Este hallazgo se produce a medida que Recorded Future detalló una «operación de cibercrimen en ruso a gran escala» que se enfoca en la comunidad de jugadores y aprovecha señuelos falsos de juegos Web3 para distribuir malware capaz de robar información sensible de usuarios de macOS y Windows, una técnica llamada trampa phishing.
También sigue a una ola de campañas de malware dirigidas a entornos empresariales con cargadores como PikaBot y una nueva cepa llamada NewBot Loader.
Cuando se le pidió un comentario, un portavoz de GitHub compartió la siguiente declaración, enfatizando las acciones tomadas por la plataforma para abordar este tipo de problemas específicos.
Vía The Hacker News
