El nuevo cargador de Legion ofrece una variedad de malware

Legion Loader es un nuevo cuentagotas que ya está en uso. Se distingue por la amplia gama de malware que se ha visto caer y su continuo desarrollo. La implicación es que está disponible para contratar como parte del floreciente mercado negro de malware como servicio.

Mientras que otros cuentagotas a menudo se asocian con malware particular, del mismo modo que se sabe que Emotet lanza Trickbot , y que Trickbot deja caer el ransomware Ryuk y Lockergoga (y más recientemente el malware de descremado web ), Legion ya sabe que arroja una amplia gama de malware Esto incluye infostealers como Vidar, Predator y Raccoon ; y un ladrón de cifrado, un minero de cifrado y una puerta trasera RDP.

Se detectó una campaña de Legion, y el cuentagotas utilizado fue analizado por investigadores de Deep Instinct . El análisis fue «bastante sencillo»: aunque incluye varias evasiones de sandbox y herramientas de investigación, carece de ofuscación de cuerdas.

Es, dicen, «escrito en MS Visual C ++ 8 (muy probablemente por un individuo de habla rusa) y muestra signos de estar en desarrollo activo». No dan ninguna indicación de cómo Legion se instala inicialmente en la víctima, sino que describen lo que hace. Los objetivos actualmente parecen estar principalmente en los Estados Unidos y Europa. Cada cuentagotas está diseñado para entregar 2-3 malwares adicionales e incluye un ladrón de moneda criptográfico sin archivos incorporado y un recolector de credenciales de navegador.

Llega con el típico humor negro de sombrero negro: las cadenas de agente de usuario detectadas han incluido autizm, satan, suspiria, fuck you y lilith. Su primer paso es registrarse con su servidor designado. Si no se recibe la respuesta esperada, finaliza. Si tiene éxito, descarga las 2 o 3 cargas adicionales normalmente del servidor de C&C, pero ocasionalmente de un servicio de alojamiento gratuito.

Cuando se completan las descargas, Legion ejecuta un comando de PowerShell ligeramente ofuscado que entrega el ladrón de moneda criptográfica y un recolector de credenciales de navegador. El ladrón de criptomonedas se pone en contacto con C&C y recibe más código de PowerShell que barre el sistema en busca de billeteras almacenadas y cualquier credencial relacionada.

Si se encuentra alguno, Legion vuelve a ponerse en contacto con el C&C y recibe más código de PowerShell (para configurar el ladrón) y una DLL (utilizada en el cifrado de comunicación adicional). Una vez que se completa, descarga un recolector de credenciales del navegador. Las credenciales y los archivos de billetera se cargan en los C&C.

También puede implementar una puerta trasera basada en RDP. Esto llega como un Sistema de instalación de secuencias de comandos de Nullsoft (NSIS) y emplea un .DLL de blowfish incrustado para descifrar cadenas que forman un comando cmd.exe . Esto ejecuta un script incrustado de PowerShell, que contiene un gran blob cifrado DES que se descifra. Este blob contiene otros blobs que están comprimidos con gzip y codificados en base64.

«Estos blobs», señalan los investigadores, «se decodifican y descomprimen utilizando un conjunto de funciones contenidas y se implementan mediante el código de PowerShell en % programfiles% / windows mail / appcache.xml o % / default_list.xml , en función de la máquina ejecutora sistema operativo. Si bien la extensión del archivo escrito es .xml, en realidad son archivos .DLL. Una vez que se ha implementado el blob que contiene .DLL requerido, se registra como un servicio del sistema «.

Es demasiado pronto para saber cuán ampliamente Legion será adoptada por la fraternidad criminal en el futuro, pero el rango de malware que se ha visto caer sugiere que no ha sido desarrollado por una banda criminal para entregar un malware en particular, pero es diseñado para ofrecer un servicio para entregar malware de elección. Uno de los infostealers que ha entregado, Raccoon, es en sí mismo un producto cada vez más popular que se brinda como servicio. Es probable que este tipo de actividad criminal, donde los codificadores más expertos proporcionan malware para la mayor cantidad de posibles piratas informáticos.

Fuente: securityweek

 

Comments are closed.