Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós de TransferLoader

Programari maliciós de TransferLoader

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Investigadors de seguretat estan establint connexions entre actors notoris darrere del RomCom RAT i un carregador de programari maliciós anomenat TransferLoader. Aquesta campanya, que ha atacat entitats amb atacs d'espionatge i ransomware, destaca tècniques sofisticades i infraestructures superposades que exigeixen un examen minuciós.

Dos clústers d’actors d’amenaces: TA829 i UNK_GreenSec

Els investigadors de ciberseguretat han atribuït l'activitat relacionada amb TransferLoader a dos grups d'actors d'amenaces principals:

  • TA829, també rastrejat sota àlies com ara RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 i Void Rabisu.
  • UNK_GreenSec, un clúster menys conegut que opera en paral·lel amb tàctiques similars.

TA829 és particularment conegut per les seves operacions híbrides, que combinen espionatge i atacs amb motivació financera. Aquest grup alineat amb Rússia ha aprofitat anteriorment vulnerabilitats de dia zero a Mozilla Firefox i Microsoft Windows per implementar RomCom RAT, dirigit a organitzacions globals d'alt valor.

TransferLoader: Aparició i paper en les campanyes de programari maliciós

TransferLoader va ser identificat per primera vegada el febrer de 2025 durant una campanya que implicava el ransomware Morpheus, una versió rebatejada del ransomware HellCat. El programari maliciós es va utilitzar contra un bufet d'advocats anònim amb seu als Estats Units. A diferència de RomCom, TransferLoader serveix principalment com a mecanisme de lliurament furtiu, que permet el desplegament de càrregues útils malicioses addicionals com Metasploit i Morpheus.

La missió de TransferLoader és simple: no ser detectat i distribuir més programari maliciós.

Explotació de la infraestructura de proxy REM

Tant TA829 com UNK_GreenSec es basen en serveis de proxy REM, que sovint s'allotgen en encaminadors MikroTik compromesos. Aquests proxys s'utilitzen per encaminar trànsit maliciós, dissimulant el seu veritable origen. Els grups utilitzen aquesta infraestructura per:

  • Enviar correus electrònics de phishing a través de serveis de correu gratuïts (per exemple, Gmail, ukr.net)
  • Trànsit de retransmissió per ocultar l'activitat aigües amunt
  • Llançar campanyes utilitzant comptes de correu electrònic recentment creats i compromesos

Els investigadors sospiten de l'ús d'eines de creació de correu electrònic que generen en massa adreces de remitent com ara ximajazehox333@gmail.com i hannahsilva1978@ukr.net per a la distribució de phishing.

Mecànica de phishing i lliurament de càrrega útil

Els missatges de phishing enviats per ambdós clústers sovint contenen enllaços incrustats al cos del correu electrònic o als fitxers PDF adjunts. Les víctimes que fan clic en aquests enllaços són sotmeses a una cadena de redireccions a través de Rebrandly, que finalment acaben a pàgines falses de Google Drive o Microsoft OneDrive. Aquestes redireccions inclouen mecanismes per:

  • Eviteu els entorns de sandbox
  • Filtrar els sistemes que no són d'interès
  • Lliurar diferents càrregues útils finals segons el grup d'amenaces

Rutes d'atac divergents :

  • UNK_GreenSec utilitza aquesta ruta per desplegar TransferLoader.
  • El TA829 redirigeix els objectius al programari maliciós SlipScreen

Eines i infraestructura compartides

Ambdós grups d'actors demostren conjunts d'eines i opcions d'infraestructura que se superposen:

  • Ús de la utilitat PLINK de PuTTY per establir túnels SSH
  • Allotjament d'utilitats malicioses en serveis IPFS (InterPlanetary File System)
  • Aprofitant els punts finals de redirecció dinàmics basats en PHP per al filtratge del trànsit

Aquests mètodes compartits suggereixen una possible coordinació o adopció mútua de tàctiques efectives.

Temes d’enginyeria social i tàctiques de lliurament

Les campanyes que impliquen TransferLoader sovint es fan passar per correus electrònics amb ofertes de treball, atraient les víctimes amb enllaços que afirmen conduir a currículums en PDF. En realitat, l'enllaç activa una descàrrega de TransferLoader allotjat a les xarxes socials IPFS.

Aspectes tècnics clau de les operacions de TransferLoader

Evita la detecció: utilitza la redirecció, el filtratge i l'allotjament descentralitzat per evitar les defenses tradicionals.

Lliurament de càrrega útil: actua com a carregador de programari maliciós més perillós, com ara ransomware i eines d'accés remot.

Tècniques diferenciades: utilitza estructures de redirecció úniques (punts finals de JavaScript a PHP) per donar suport al lliurament dinàmic de contingut.

Conclusió: Comprensió de l’amenaça de TransferLoader

TransferLoader representa una amenaça important com a carregador furtiu capaç de permetre atacs d'alt impacte. El seu ús tant per part d'UNK_GreenSec com de TA829 il·lustra com els grups ciberdelinqüents continuen innovant, compartint eines i explotant la infraestructura descentralitzada per evitar la detecció i aconseguir els seus objectius.

Els indicadors de l'amenaça de TransferLoader inclouen:

  • Ús dels serveis de proxy REM
  • Esquers de correu electrònic que fan referència a sol·licituds de feina o currículums
  • Cadenes de redirecció que impliquen enllaços de Rebrandly
  • Càrregues útils allotjades en plataformes basades en IPFS

Les organitzacions han de mantenir-se vigilants, implementar un filtratge robust del correu electrònic i de la web i controlar contínuament el comportament anormal de la xarxa relacionat amb aquestes tàctiques.

Tendència

Més vist

Carregant...