El malware de descarga de JavaScript conocido como SocGholish (también conocido como FakeUpdates) se utiliza para difundir un troyano de acceso remoto llamado AsyncRAT, así como un proyecto legítimo de código abierto llamado BOINC.
BOINCabreviatura de Berkeley Open Infrastructure Network Computing Client, es una “informática voluntaria” de código abierto. plataforma mantenido por la Universidad de California con el propósito de lograr “computación distribuida de alto rendimiento a gran escala” utilizando computadoras personales participantes en las que está instalada la aplicación.
“Es similar a un minero de criptomonedas en ese sentido (usando recursos informáticos para realizar el trabajo), y en realidad está diseñado para recompensar a los usuarios con un tipo específico de criptomoneda llamada Gridcoin, diseñada para este efecto”, dijeron los investigadores de Huntress Matt Anderson, Alden. Schmidt y Greg Linares. dicho en un informe publicado la semana pasada.
Estas instalaciones maliciosas están diseñadas para conectarse a un dominio controlado por un actor (“rosettahome[.]cn” o “rosettahome[.]”arriba”), que actúa esencialmente como un servidor de comando y control (C2) para recopilar datos del host, transmitir cargas útiles y enviar otros comandos. Al 15 de julio, 10.032 clientes están conectados a los dos dominios.
La firma de ciberseguridad dijo que si bien no había observado ninguna actividad o tareas de seguimiento realizadas por los hosts infectados, especuló que “las conexiones de host podrían venderse como vectores de acceso inicial para uso de otros actores y potencialmente usarse para ejecutar ransomware”.
Las secuencias de ataque de SocGholish generalmente comienzan cuando los usuarios llegan a sitios web comprometidos, donde se les solicita que descarguen una actualización falsa del navegador que, cuando se ejecuta, activa la recuperación de cargas útiles adicionales de las máquinas infiltradas.
El descargador de JavaScript, en este caso, activa dos cadenas separadas, una que conduce a la implementación de una variante sin archivos de AsyncRAT y la otra que resulta en la instalación de BOINC.
La aplicación BOINC, renombrada como “SecurityHealthService.exe” o “trustedinstaller.exe” para evadir la detección, establece la persistencia mediante una tarea programada mediante un script de PowerShell.
El uso indebido de BOINC con fines maliciosos no pasó desapercibido para los responsables del proyecto, que están actualmente bajo investigación el problema y encontrar una manera de “derrotar este malware”. La evidencia del abuso se remonta al menos al 26 de junio de 2024.
“La motivación y la intención del actor malicioso al cargar este software en hosts infectados no están claras en este momento”, dijeron los investigadores.
“Los clientes infectados que se conectan activamente a servidores BOINC maliciosos representan un riesgo bastante alto, ya que existe el riesgo de que un actor de amenazas motivado haga un mal uso de esta conexión y ejecute una serie de comandos o malware en el host para aumentar aún más los privilegios o moverse lateralmente a través de una red. y comprometer un dominio completo. »
El desarrollo se produce cuando Check Point dijo que ha rastreado el uso de JavaScript V8 compilado por parte de autores de malware para evitar detecciones estáticas y ocultar troyanos de acceso remoto, ladrones, cargadores, mineros de criptomonedas, borradores y ransomware.
“En la batalla actual entre expertos en seguridad y actores maliciosos, los desarrolladores de malware continúan ideando nuevos trucos para ocultar sus ataques”, afirmó el investigador de seguridad Moshe Marelus. “No es sorprendente que comenzaran a utilizar V8, porque esta tecnología se usa comúnmente para crear software porque está muy extendida y es extremadamente difícil de analizar. »