Como parte de una campaña observada en abril de 2025, los actores de amenaza aprovechan los repositorios públicos de GitHub para organizar cargas útiles maliciosas y distribuirlas a través de Amadey.
«Los operadores de Maas (malware como servicio) han alojado cargas útiles, herramientas y complementos amadey utilizando cuentas falsas de Github, tal vez en un intento de evitar el filtrado web, y los investigadores de Cisco Talos, Chris Neal y Craig Jackson, dijeron en un informe publicado hoy.
La compañía de ciberseguridad dijo que la cadena de ataque aprovechó un cargador de malware llamado Emmenhtal (también conocido como Peaklight) para proporcionar a Amadey.
La actividad comparte similitudes tácticas con la campaña de phishing de correo electrónico en febrero de 2025, en la que se utilizan pagos de facturas y señuelos relacionados con los billetes para distribuir rackers de humo.
Tanto Emmenhtal como Amadey actúan como descargadores de carga útil secundaria como Information Steelers, pero también se ha observado que este último proporciona ransomware como Lockbit 3.0 en el pasado.
Otra distinción importante entre las dos familias de malware es que, a diferencia de Emmenhtal, Amadey puede recopilar información del sistema y extenderla funcionalmente con una serie de complementos DLL que permiten ciertas características como credenciales y captura de captura de pantalla.
Un análisis de Cisco Talos para la campaña de abril de 2025 utiliza tres cuentas de GitHub (Legenedary99999, DFFE9EWF y MILIDMDDS), incluidos el complemento Amadey, la carga útil secundaria y el Stealer de Lumma, el Stealer Redline y el Stealer Rhadamanthys. La cuenta fue eliminada por Github.
Se sabe que algunos de los archivos JavaScript que existen en el repositorio de GitHub son idénticos a los scripts Emmenthal utilizados en la campaña Smokeloader. La principal diferencia es la carga útil descargada. Específicamente, el archivo del cargador Emmenhtal en el repositorio actúa como un vector de entrega para copias legítimas de Amadey, Asyncrat y Putty.exe.
También se descubre en el repositorio de GitHub un script de Python que representa la evolución de Emmenhtal, que incorpora comandos de PowerShell integrados para descargar Amadey de una dirección IP codificada.
La cuenta de GitHub utilizada para organizar la carga útil se considera parte de una gran operación MAAS que abusa de la plataforma de alojamiento de código de Microsoft para fines maliciosos.
Esta divulgación se produce cuando Trellix detalla una campaña de phishing que propaga a otro cargador de malware conocido como Squidloader en un ataque cibernético dirigido a una agencia de servicios financieros en Hong Kong. Los artefactos adicionales desenterrados por los proveedores de seguridad sugieren que los ataques relacionados pueden estar en curso en Singapur y Australia.
Cadena de ataque de calamar
SquidLoader es una amenaza horrible debido a la matriz de matriz de diferentes matrices, anti-sandboxes y tecnologías anti-deficiencia empaquetadas en ella, lo que le permite evitar la detección y obstaculizar los esfuerzos de investigación. También puede establecer la comunicación con un servidor remoto, enviar información sobre el host infectado e inyectar la siguiente carga útil.
«El cargador de calamares emplea una cadena de ataque que conduce al despliegue de balizas de Cobalt Strike para el acceso y el control remoto», dijo el investigador de seguridad Charles Crawford. «Sus complejas tecnologías antianálisis, anti-sandboxing y prevención, junto con sus tasas de detección dispersas, representan una gran amenaza para las organizaciones específicas».
Los hallazgos continúan descubriendo una amplia gama de campañas de ingeniería social diseñadas para distribuir una amplia gama de familias de malware.
Un ataque que probablemente llevará a cabo un grupo motivado financieramente llamado UNC5952, aprovecha el tema de las facturas de correo electrónico para proporcionar goteros maliciosos que conducen al despliegue de un descargador llamado Chainverb. Los ataques de documentos PDF que utilizan temas de la Agencia de Seguro Social de los Estados Unidos (SSA) para recopilar credenciales de usuarios e instalar una versión troyanizada de Connectwise Screenconnect. Consolide su infraestructura de Amazon Web Services (AWS) con detección de derivación, integre la validación de Cloudflare Turnstile Captcha para crear un sentido de falso y legitimidad de la seguridad, y aproveche otro kit de phishing basado en frascos de Python personalizado para promover el robo de calificación con ataques de esfuerzos técnicos mínimos. El ataque del portal de inicio de sesión emplea las tácticas de ClickFix proporciona un ataque de rata de Rhadamanthys Stealer y NetSupport. Los correos electrónicos realistas que pueden pasar por alto la sospecha del usuario y las herramientas de detección tradicionales utilizan archivos de imagen de gráficos vectoriales escalables (SVG) en correos electrónicos de phishing e incrustar a JavaScript ofned para usar el inventario para facilitar la redirección a la infraestructura controlada por los atacantes.
Según los datos compilados por CoFense, el uso del código QR representó el 57% de las campañas con tácticas avanzadas, técnicas y procedimientos (TTP) en 2024. Otras formas notables incluyen el uso de archivos adjuntos de archivo protegidos con contraseña en correos electrónicos para evitar puertas de correo seguras (SEG).
«Al proteger la contraseña de los archivos, los actores de amenaza evitan que los segmentos y otros métodos escaneen su contenido y detecten archivos que generalmente son claramente maliciosos», dice Max Gannon, investigador de Cofense.
Source link
