Meta News

Detectan una Campaña Maliciosa Multietapa que Roba Información Usando Licencias Engañosas

Summary: Una campaña maliciosa dirigida utiliza licencias de derechos de autor engañosas para entregar PureLog Stealer, un malware que roba información, a industrias clave como el sector sanitario y el gubernamental.

Identificamos una campaña maliciosa dirigida que distribuye PureLog Stealer, un malware que roba información, a través de ensamblados multietapa empacados. Este malware recopila datos confidenciales, incluyendo credenciales del navegador Chrome, extensiones, monederos de criptomonedas y información del sistema, a través de un archivo disfrazado como una notificación legal de violación de derechos de autor. El ataque probablemente depende de correos electrónicos phishing que engañen a las víctimas para descargar un ejecutable malicioso ajustado al idioma local de la víctima.

Una vez ejecutado, el malware despliega una cadena infecciosa multietapa diseñada para evadir la detección. Notoriamente, descarga un paquete cifrado disfrazado como un archivo PDF, luego recupera la contraseña de descifrado remotamente desde infraestructura controlada por los atacantes. En lugar de usar código de descifrado incorporado, la campaña abusa de una utilidad WinRAR renombrada que se disfraza como un archivo PNG para extraer el paquete.

El paquete extraído lanza un cargador basado en Python que descifra y ejecuta el malware .NET PureLog Stealer finalmente en memoria. El procedimiento también incorpora técnicas antevirtualizadoras para evadir entornos de análisis automatizados.

Key facts

  • La campaña de PureLog stealer utiliza licencias engañosas disfrazadas como notificaciones legales de violación de derechos de autor.
  • Una cadena de entrega multietapa evasiva combina paquetes cifrados y recuperación remota de claves para dificultar el análisis estático.
  • El malware depende de la ejecución sin archivos, usando un cargador basado en Python y dos cargadores .NET para ejecutar PureLog Stealer completamente en memoria.
  • Técnicas antevirtualizadoras, persistencia en el registro, captura de pantalla y rastreo del huésped se integran en el cargador para lograr la clandestinidad e inteligencia recolectada.
  • Pruebas de telemetry confirman comunicación con infraestructura asociada a PureLog.

Why it matters

Esta campaña multietapa, dirigida es significativa porque demuestra tácticas sofisticadas utilizadas por actores del threat hunting para explotar industrias y organizaciones específicas. El uso de licencias de derechos de autor engañosas y métodos sin archivos aumenta la probabilidad de infección exitosa mientras reduce la detección por las medidas de seguridad tradicionales.

Tags:
cybersecurity malware PureLog Stealer fileless execution multi-stage attack

Structured details

  • Industry: cybersecurity
  • Source type: media
  • Claim status: confirmed
  • Verification: claimed_by_source
  • Entities: Trend Micro Research, PureLog Stealer, Alemania, Canadá, organizaciones sanitarias, organizaciones gubernamentales

Source: https://www.trendmicro.com/en_us/research/26/c/copyright-lures-mask-a-multistage-purelog-stealer-attack.html

Published on