Los investigadores de ciberseguridad han revelado detalles sobre una nueva familia de malware llamada EyeBackDoors, y han descubierto que el código fuente «crítico» se superpone con ICED y Latrodectus.
«La conexión exacta con Yibackdoor aún no está clara, pero se puede usar junto con Latrodectus o IceDid durante un ataque», dijo Zscaler Amenazlabz en un informe el martes. «Yibackdoor puede ejecutar cualquier comando, recopilar información del sistema, capturar capturas de pantalla e implementar complementos que extienden dinámicamente la funcionalidad de malware».
La compañía de ciberseguridad identificó por primera vez malware en junio de 2025, y agregó que podría servir como precursor de la siguiente explotación, incluida la promoción del acceso inicial a los ataques de ransomware. Hasta la fecha, solo se ha detectado un despliegue limitado de Yibackdoor, lo que indica que actualmente está en desarrollo o prueba.
Dadas las similitudes entre Yibackdoor, IceDid y Latrodectus, está clasificado con confianza moderada a alta de que el nuevo malware es el trabajo del mismo desarrollador detrás de los otros dos cargadores. También vale la pena señalar que Latrodectus en sí mismo se considera el sucesor de ICED.
Yibackdoor presenta técnicas rudimentarias contra el análisis para evitar entornos virtualizados y de arena, e incorpora la capacidad de inyectar la funcionalidad central en el proceso «svchost.exe». La persistencia del host se logra mediante el uso de las teclas de registro de Windows Run.
«Yibackdoor primero se copia (la DLL de malware) en un directorio recién creado con un nombre aleatorio», dijo la compañía. «Yibackdoor luego agrega el nombre del valor del registro (derivado de un algoritmo pseudo-aleatorio) y regsvr32.exe malicioso_path a la autoinmunidad, evitando el análisis forense».
La configuración encriptada integrada dentro del malware se utiliza para extraer servidores de comando y control (C2) y luego establecer una conexión que reciba comandos en una respuesta HTTP –
SystemInfo, recopila pantallas de metadatos del sistema, recupera CMD de captura de pantalla, ejecuta comandos de shell del sistema utilizando cmd.exe PWS, ejecuta los comandos de shell del sistema utilizando el complemento PowerShell, los comandos de aprobación al complemento existente, envía resultados a tareas del servidor e inicializan y ejecuta nuevos complementos con la base 64 de codificación y conceptos.
Los análisis de Yibackdoor en ZScaler revelaron muchas superposiciones de código entre Yibackdoor, IceDid y Latrodectus, incluidos los métodos de inyección de código, el formato y la longitud de la clave de descifrado de configuración.
«Por defecto, las características de Yibackdoor son algo limitadas, pero los actores de amenaza pueden implementar complementos adicionales que extienden las capacidades de malware», dijo Zscaler. «Dadas las implementaciones limitadas hasta ahora, es posible que los actores de amenaza sigan desarrollando o probando Yibackdoor».
Se ha descubierto una nueva versión de ZLoader
Ocurre cuando una compañía de ciberseguridad investiga dos versiones más nuevas de ZLoader (Deloader, Terdot o Silent Night) (2.11.6.0 y 2.13.7.0). Esto incorpora mejoras adicionales a la utilización del código, las comunicaciones de redes, la tecnología anti-analítica y las capacidades de inversión.
Entre los cambios se encuentran los comandos de descubrimiento de red basados en LDAP que se pueden utilizar para el descubrimiento de red y el movimiento lateral, y un protocolo de red mejorado basado en DNS que utiliza el cifrado personalizado con opciones que usan WebSocket.
Se dice que los ataques que distribuyen cargadores de malware son más precisos y dirigidos, y se implementan solo contra un pequeño número de entidades en lugar de formas indiscriminadas.
«ZLoader 2.13.7.0 incluye mejoras y actualizaciones a las comunicaciones del protocolo de túnel DNS personalizado para las comunicaciones de comando y control (C2), y agrega soporte para WebSocket», dijo Zscaler. «ZLoader continúa evolucionando su estrategia antianalítica y aprovecha formas innovadoras para evitar la detección».
Source link
