Se han observado nuevas campañas que ofrecen sainbox rata y de código abierto, RootKit oculto, aprovechando sitios web falsos que anuncian software popular como WPS Office, Sogou y Deepseek.
La actividad proviene de una confianza moderada en un grupo de piratería chino llamado Silver Fox (también conocido como Void Arachne), citando la similitud de marca registrada con campañas anteriores atribuidas a los actores de amenazas.
Se sabe que el sitio web de Phishing («WPSICE (.) Com») distribuye instaladores de MSI maliciosos a los chinos, lo que indica que el objetivo de la campaña es ser oradores chinos.
«La carga útil de malware incluye la rata Sainbox, la variante de rata GH0st y la variante de raíz oculta de código abierto», dijo Leandro Fróes, investigador de Netskope Threat Labs.
Esta no es la primera vez que un actor amenazante se basa en este truco. En julio de 2024, Esentire detalló una campaña dirigida a usuarios de Windows de habla china que usan sitios falsos de Google Chrome para proporcionar ratas GH0ST.
Luego, a principios de febrero, Morphisec reveló otra campaña que utilizó sitios falsos que promocionan los navegadores web que distribuyen Valleyrat (también conocido como Winos 4.0), otra versión de ratas GH0ST.
Valleyrat fue documentado por primera vez por Proofpoint como parte de una campaña en septiembre de 2023 que seleccionó a los usuarios de habla china en Sainbox Rat y Purple Fox.
En la última ola de ataque descubierta por Netskope, los instaladores de MSI maliciosos descargados desde el sitio web están diseñados para usar la tecnología DLL Sideload para lanzar un ejecutable legítimo llamado «libcef.dll», que es un DLL malformado llamado «libcef.dll».
El objetivo principal de DLLS es extraer ShellCode de un archivo de texto («1.txt») que reside en el instalador y luego finalmente ejecutar otra carga útil de DLL, un troyano de acceso remoto llamado Sainbox.
«La sección .data de la carga útil analizada contiene otro binario PE que puede ejecutarse dependiendo de la configuración de malware», explicó Froes. «Los archivos integrados son controladores RootKit basados en proyectos ocultos de código abierto».
Si bien Sainbox está equipado con la capacidad de descargar cargas útiles adicionales y robar datos, Hidden proporciona a los atacantes una variedad de características de sigilo para ocultar procesos relacionados con malware y las claves de registro de Windows en hosts comprometidos.
«El uso de variaciones de ratas de productos básicos, como las ratas GH0st, los raíces de núcleo de código abierto, como ocultar, proporcionan control de atacantes y sigilo sin la necesidad de mucho desarrollo personalizado», dice Netskope.
Source link
