Los investigadores de ciberseguridad están arrojando luz sobre el robo de información basado en el óxido previamente indocumentado llamado Myth Stealer, que se está propagando a través de sitios web de juegos fraudulentos.
«Cuando se ejecuta, el malware descifra y ejecuta código malicioso en segundo plano y muestra ventanas falsas que parecen legítimas», dijeron Niranjan Hegde, Vasantha Lakshmanan Ambasankar y Adarsh S, investigadores de seguridad de Trellix.
Steelers, que se vendió por primera vez de forma gratuita en Beta en Telegram a fines de diciembre de 2024, se mudaron desde entonces al modelo de malware como Servicio (MAAS). Equipado para robar contraseñas, cookies e información de ingreso automático de navegadores basados en Chromium y Gecko, incluidos Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi y Mozilla Firefox.
Se ha encontrado que los operadores de malware mantienen muchos canales de telegrama para promover la venta de cuentas comprometidas y proporcionar testimonio del servicio. Estos canales están cerrados por telegrama.
La evidencia muestra que Myth Stealer, incluidos los organizados por los bloggers de Google, se distribuye a través de sitios web falsos y ofrece una variedad de videojuegos con el pretexto de probarlos. Vale la pena señalar que la misma página de blogger casi idéntica se utiliza para proporcionar otro malware de robador conocido como Agesostealer, como lo revela Flashpoint en abril de 2025.
Trellix dijo que había descubierto en un foro en línea que el malware se estaba distribuyendo como una versión agrietada del software de trampa del juego llamado DDRACE, destacando innumerables vehículos de distribución.
Independientemente del vector de acceso inicial, el cargador descargado mostrará una ventana de configuración falsa al usuario, como si la aplicación legítima se esté ejecutando. En el fondo, el cargador descifra y lanza los componentes Steeler.
En los archivos DLL de 64 bits, el Steeler intenta rescindir el proceso de ejecución asociado con varios navegadores web antes de robar los datos y eliminarlos a un servidor remoto.
«También incluye técnicas antianalíticas como la ofuscación de cadenas y la verificación del sistema utilizando nombres de archivos y nombres de usuario», dijeron los investigadores. «Los autores de malware actualizan regularmente su código de Stealer para evitar la detección de AV e introducir características adicionales como captura de pantalla y secuestro de portapapeles».
Myth Stealer no está solo cuando se trata de distribuir malware usando señuelos de trucos de juegos. La semana pasada, Palo Alto Networks Unit 42 arroja luz en otro malware de Windows llamado Blitz, extendiéndose a través de trucos de juegos de fondo e instaladores de crack para programas legítimos.
Propagado principalmente a través de los canales de telegrama controlados por el atacante, Blitz consta de dos etapas que causan cargas de BOT diseñadas para grabar pulsaciones de teclas, tomar capturas de pantalla, descargar/cargar archivos e insertar código. También tiene una función de denegación de servicio (DOS) para servidores web, que deja caer los mineros XMRIG.
El truco de fondo realiza una verificación anti-sandbox antes de obtener la siguiente etapa del malware. El descargador solo se ejecutará cuando la víctima inicie sesión nuevamente después de iniciar sesión o reiniciar. El descargador está configurado para realizar la misma verificación de sandbox antes de soltar la carga útil de BOT.
Lo que es notable sobre la cadena de ataque es que las cargas útiles de mineros de criptomonedas Blitz Bot y XMR y sus componentes de infraestructura de comando y control (C2) están alojados en la facilidad del abrazo. La cara abrazada bloqueó la cuenta de usuario después de la divulgación responsable.
A fines de abril de 2025, se estima que Blitz ha acumulado 289 enfermedades infecciosas en 26 países dirigidos por Rusia, Ucrania, Bielorrusia y Kazajstán. El mes pasado, el actor de amenaza detrás del Blitz afirmó en el canal de Telegram que estaba colgando de sus botas después de que se reveló que el truco tenía un troyano incrustado. También proporcionaron una herramienta de eliminación para eliminar el malware de los sistemas de víctimas.
«La persona detrás del malware Blitz parece ser un orador ruso que usa el apodo SW1ZZX en las plataformas de redes sociales», dijo la Unidad 42. «Este operador de malware es probablemente el desarrollador de Blitz».
Cyfirma ocurre como detallado un nuevo troyano de acceso remoto basado en C#(rata) llamada DuplexSpy Rat, con amplias capacidades para el monitoreo, la persistencia y el control del sistema. Fue publicado en Github en abril de 2025 y afirma que está destinado a ser «manifestaciones educativas y éticas solo».
Cadena de infección de bombardeo
«Para el sigilo, estableceremos la persistencia a través de la replicación de la carpeta de inicio y los cambios en el registro de Windows, mientras empleamos la ejecución sin incendios y las técnicas de escalada de privilegios», dijo la compañía. «Las características principales incluyen keylogs, captura de pantalla, cámara web/espía de audio, shell remoto y capacidades anti-análisis».
Además de poder reproducir de forma remota los sonidos de audio o sistema en la máquina de la víctima, DuplexSpy Rat incluye un módulo de control de potencia que permite a un atacante ejecutar remotamente comandos a nivel de sistema, como apagar, reiniciar, cerrar la sesión y dormir en el host comprometido.
«(Malware) implementa una pantalla de bloqueo falso al mostrar la imagen suplementada del atacante (codificación Base64) en pantalla completa mientras deshabilita la interacción del usuario», agregó Cyfirma. «Manipularemos o forzaremos a las víctimas evitando los cierres y simulando una congelación del sistema o notificación de rescate a menos que se permita expresamente».
Los hallazgos también proporcionan a Flunde y Flusmens de Crypter-As-Service después de informes de múltiples actores de amenazas, incluidos TA558, Blind Eagle, AGA (también conocido como Haga), Pazeshifter (también conocido como Angry Likho, Sticky Wearwolf y UAC-0050), UAC-0050 y Phantompontrol.
La cadena de ataque que usa criptografía y herramientas se dirige a los Estados Unidos, Europa del Este (incluida Rusia) y América Latina. Una plataforma en la que se vende el criptor es NitrosoftWares (.) Com. También ofrece una variedad de herramientas, especialmente exploits, cortadores de criptomonedas.
Source link
