El investigador de seguridad de Check Point Jiri Vinopal reveló que la mayoría de las muestras maliciosas analizadas se dirigieron a instituciones financieras e industrias gubernamentales.
Este análisis se realizó en VirusTotal, propiedad de Google. El estudio reveló que las muestras empaquetadas con BoxedApp experimentaron un aumento significativo en mayo de 2023. Los artefactos provinieron principalmente de Turquía, Estados Unidos, Alemania, Francia y Rusia.
La distribución de malware involucra familias como Agent Tesla, AsyncRAT, LockBit, LodaRAT, NanoCore, Neshta, NjRAT, Quasar RAT, Ramnit, RedLine, Remcos, RevengeRAT, XWorm y ZXShell.
Los empacadores son archivos autoextraíbles comúnmente utilizados para comprimir software. Sin embargo, estos han sido utilizados por actores de amenazas para ofuscar cargas maliciosas y resistir el análisis.
Este aumento ha sido atribuido a diversos beneficios que hacen que BoxedApp sea atractivo para los atacantes.
El investigador Jiri Vinopal comentó que empaquetar cargas maliciosas con BoxedApp ha permitido a los atacantes reducir la detección y fortalecer el análisis, utilizando capacidades avanzadas sin desarrollar software desde cero. El uso de SDK abre espacio para crear un empacador personalizado y único.
Por otro lado, NSIXloader, un empacador ilícito que utiliza el sistema de instalación Nullsoft Scriptable (NSIS), se ha utilizado para diseminar Agent Tesla, FormBook, LokiBot, Remcos y XLoader. El uso de este empacador ha implicado su comercialización y monetización en la dark web.
En un desarrollo relacionado, QiAnXin XLab reveló detalles de un empacador denominado Kiteshield que ha sido utilizado por actores de amenazas como Winnti y DarkMosquito para atacar sistemas Linux. Kiteshield es un empacador/protector para binarios ELF x86-64 en Linux que envuelve binarios ELF con múltiples capas de encriptación e inyecta código de cargador que descifra, mapea y ejecuta el binario empaquetado en el espacio de usuario.
Vía The Hacker News
