Nuevo descargador de malware detectado en campañas específicas



Saint Bot se está utilizando para lanzar ladrones en sistemas comprometidos, pero podría usarse para entregar cualquier malware.

En las últimas semanas ha aparecido un nuevo descargador de malware relativamente sofisticado que, aunque aún no está muy extendido, parece estar ganando impulso.

Los investigadores de Malwarebytes descubrieron recientemente que el gotero Saint Bot, como lo han llamado, se usa como parte de la cadena de infección en campañas dirigidas contra instituciones gubernamentales en el país de Georgia. En cada caso, los atacantes utilizaron Saint Bot para eliminar a los ladrones de información y otros descargadores de malware. Según el proveedor de seguridad, es probable que algunos actores de amenazas diferentes estén utilizando el nuevo cargador, por lo que es possible que haya otras víctimas.

Uno de los ladrones de información que se ha observado que cae Saint Bot es Tauro, una herramienta de malware diseñada para robar contraseñas, historial del navegador, cookies y datos en formularios de autocompletar. El ladrón de Taurus también está equipado para robar credenciales de clientes de correo electrónico y FTP de uso común e información del sistema, como detalles de configuración y software instalado. Según Malwarebytes, si bien se ha observado que Saint Bot deja caer ladrones, el cuentagotas está diseñado para entregar cualquier malware en un sistema comprometido.

Los goteros de malware son herramientas especializadas diseñadas especialmente para instalar diferentes programas maliciosos en los sistemas de las víctimas. Por lo typical, se distribuyen a través de correos electrónicos no deseados y de suplantación de identidad, ocultos en sitios world-wide-web maliciosos, en aplicaciones infectadas y, a menudo, como parte de una cadena de infección más amplia. La mayoría tiene funciones para evadir la detección, deshabilitar las herramientas de seguridad en un sistema infectado, conectarse con servidores de comando y manage y ejecutar comandos maliciosos.

Uno de los ejemplos recientes más notables de este tipo de malware es Sunburst, la herramienta que se distribuyó a través de actualizaciones envenenadas del software SolarWinds Orion a unas 18.000 organizaciones en todo el mundo. En ese caso específico, el cuentagotas se diseñó a medida para entregar cargas útiles específicas en sistemas que pertenecen a organizaciones de unique interés para los atacantes. Los descargadores típicos, sin embargo, son herramientas de malware de primera etapa diseñadas para entregar una amplia variedad de cargas útiles secundarias y terciarias, incluidos ransomware, troyanos bancarios, criptomineros y otras herramientas maliciosas. Algunos de los goteros más utilizados en los últimos tiempos, como Emotet, Trickbot y Dridex, comenzaron como troyanos bancarios antes de que sus operadores cambiaran de táctica y usaran sus troyanos como vehículos de distribución de malware para otros delincuentes.

Investigadores de Malwarebytes detectados Saint Bot mientras investiga un correo electrónico de phishing que contiene un archivo zip con malware que no habían visto antes. El archivo zip contenía un script de PowerShell ofuscado que se hacía pasar por un enlace a una billetera de Bitcoin. El script inició una cadena de infecciones que eventualmente resultó en la caída de Saint Bot en el sistema comprometido, dijo Malwarebytes en un informe el viernes.

«Cuando estábamos a punto de publicar en este descargador, identificamos algunas campañas nuevas que parecen tener motivaciones políticas y en las que Saint Bot se estaba utilizando como parte de la cadena de infección», dice un portavoz del equipo de inteligencia de amenazas de Malwarebytes. «En unique, observamos documentos maliciosos atados con exploits a menudo acompañados de archivos señuelo», señala. En todos los casos, Saint Bot finalmente se usó para soltar ladrones.

Como muchos otros goteros, Saint Bot está equipado con varias funciones de ofuscación y anti-análisis diseñadas para ayudarlo a evadir las herramientas de detección de malware. Está diseñado para detectar máquinas virtuales y, en algunos casos, para detectar, y no para ejecutar, en sistemas ubicados en la Comunidad de Estados Independientes específicos, que incluyen países del antiguo bloque soviético, como Rusia, Azerbaiyán, Armenia, Uzbekistán, Ucrania, y Moldavia. Tauro, el ladrón de información al que el cuentagotas ha estado distribuyendo principalmente, está diseñado para no ejecutar en países de la CEI. Los investigadores de seguridad a menudo ven dicha exclusión como una señal de que los autores de malware son de esa región.

Según Malwarebytes, aunque Saint Bot no es una amenaza prolífica todavía, hay indicios de que los autores detrás de la herramienta de malware todavía la están desarrollando activamente. El proveedor de seguridad dice que su investigación del Saint Bot muestra que no hace mucho existía una versión anterior de la herramienta. «Además, estamos viendo nuevas campañas que parecen ser de diferentes clientes, lo que indicaría que el autor del malware está involucrado en personalizar aún más el producto», dijo el portavoz de Malwarebytes.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic