星期三, 15 1 月, 2025

Venom Spider利用 MaaS平台部署的新型惡意程式

El grupo de hackers Venom Spider, también conocido como Golden Chickens, ha saltado a la fama por ofrecer una amplia variedad de herramientas de MaaS. Durante los meses de agosto a octubre de 2024, descubrieron que dos programas maliciosos, RevC2 y Venom Loader, estaban utilizando sus herramientas de MaaS para ser desplegados. Según un informe de investigación de Zscaler, estos programas podrían ser una versión inicial de una nueva generación de familias de malware que en el futuro podrían evolucionar hacia acciones de ataque más complejas.

MaaS (Malware-as-a-Service) es un modelo que comercializa el malware, permitiendo a los hackers adquirir herramientas de ataque sin necesidad de escribirlas o compilarlas ellos mismos. Este modelo de negocio reduce drásticamente las barreras para lanzar ataques en línea, ampliando así la gama de amenazas de seguridad en línea.

La primera ola de ataques ocurrió entre agosto y septiembre de 2024, y comenzó con un archivo LNK de Venom. Este archivo contenía un script de lote (BAT) encriptado que, una vez activado, ejecutaba una imagen que contenía un archivo API. Este archivo API servía como señuelo para pasar y ejecutar el programa malicioso RevC2, capaz de robar datos sensibles. RevC2 se comunicaba con C2 a través de una conexión WebSocket, con su ubicación en ws://208.85.17[.]52:8082.

ThreatLabz ha desarrollado un script en Python que simula RevC2, para que los usuarios puedan probar si sus dispositivos han sido afectados. Este script ya ha sido subido al repositorio de GitHub de ThreatLabz, y se puede acceder a él a través de la siguiente dirección: hxxps://github.com/ThreatLabz/tools/tree/main/revc2.

Imagen 1: Cadena de ataque utilizando RevC2 como carga útil. Fuente de la imagen: Zscaler Blog.

El equipo de investigación de Zscaler ThreatLabz observó una segunda ola de ataques entre septiembre y octubre de 2024. Esta vez, el método de ataque fue similar al anterior, pero utilizando transacciones de criptomonedas como señuelo. El malware utilizado fue Venom Loader, que descargaba y ejecutaba una puerta trasera llamada More_eggs lite, compilada en JavaScript y con funciones de ejecución de código remoto.

Imagen 2: Cadena de ataque utilizando More_eggs lite como carga útil. Fuente de la imagen: Zscaler Blog.

Con el aumento del uso de herramientas de MaaS en los ataques en línea y la constante evolución de las técnicas, es importante que tanto individuos como empresas estén alerta y tomen medidas para protegerse contra el malware, realizando revisiones periódicas de seguridad en sus sistemas para combatir las amenazas en línea.

En conclusión, la comunidad en general debe estar al tanto de estas amenazas y tomar las medidas necesarias para protegerse contra ellas, ya sea con la ayuda de expertos en seguridad cibernética o con medidas de seguridad básicas en sus propios dispositivos. Solo trabajando juntos podremos reducir la propagación de estas amenazas en línea y mantener un entorno en línea seguro para todos.

最新文章