Los investigadores observaron una nueva campaña de malware bajo un método de cuentagotas de alquiler que arroja 6 malware diferentes para atacar a las víctimas objetivo y realizar una variedad de actividades maliciosas.
Hoy en día, los autores de malware que colaboran con otros actores de amenazas para desarrollar malware sofisticado se vuelven cada vez más comunes.
En este caso, el cuentagotas y la campaña con la que está asociado revela múltiples tipos de malware, y se conoce como “Nido de avispas”.
La campaña de malware incluye múltiples tipos de ladrones de información, puertas traseras, un ladrón de criptomonedas sin archivos integrado en el cuentagotas y, en ocasiones, también un criptominero.
Legion Loader
Los investigadores observaron el cuentagotas con el nombre de “Legion Loader” a través de varios conjuntos de reglas de intrusión de red y amenazas emergentes.
El cargador de Legion escrito por el autor de malware en MS Visual C ++ 8 y se cree que fue escrito por un desarrollador de habla rusa.
El cargador de Legion desarrollado con una variedad de características que incluyen VM / Sandbox (VMware, VBOX, etc.) y evasión de herramientas de investigación (depuradores comunes, utilidades SysInternals , Wireshark, PETools, etc.), en muchos casos carece de ofuscación de cadenas que permite Análisis bastante sencillo. Instinto profundo dijo a través de una publicación de blog.
Una vez que el cargador de Legion se ha caído y se está ejecutando en el sistema de destino, se conecta al servidor de comando y control para obtener más comandos y termina si no recibe ninguna respuesta esperada.
Tras la conexión exitosa, procederá a descargar y ejecutar 2-3 cargas útiles codificadas desde el servidor C2.
Legion Loader, dirigido tanto a Estados Unidos como a Europa, tiene la intención de entregar 2-3 ejecutables de malware adicionales y presenta un ladrón de criptomonedas y un recolector de credenciales de navegador incorporados.
“Legion Loader es, como se mencionó anteriormente, muy bien nombrado; y es un ejemplo clásico de cómo incluso un malware de sofisticación relativamente baja puede convertirse en una pesadilla de seguridad para una organización, empleando técnicas más avanzadas sin archivos y entregando una miríada de malware de seguimiento que van para ladrones de información y credenciales cosechadores para criptomineros y puertas traseras ”, dijeron los investigadores.