Los actores de amenaza están aprovechando los repositorios públicos de GitHub para organizar cargas útiles maliciosas y distribuirlos a través de Amadey como parte de una campaña observada en abril de 2025.
«Los operadores Maas (malware como servicio) utilizaron cuentas falsas de GitHub para alojar cargas útiles, herramientas y complementos Amadey, probablemente como un intento de evitar el filtrado web y para facilitar su uso», dijeron los investigadores de Cisco Talos Chris Neal y Craig Jackson en un informe publicado hoy.
La compañía de ciberseguridad dijo que los cadenas de ataque aprovechan un cargador de malware llamado Emmenhtal (también conocido como Peaklight) para entregar a Amadey, que, por su parte, descarga varias cargas útiles personalizadas de repositorios públicos de Github operados por los actores de amenaza.
La actividad comparte similitudes tácticas con una campaña de phishing de correo electrónico que utilizó el pago de facturas y los señuelos relacionados con la facturación para distribuir Smokeloader a través de Emmenhtal en febrero de 2025 en ataques dirigidos a entidades ucranianas.
Tanto Emmenhtal como Amadey funcionan como descargador para cargas útiles secundarias como robadores de información, aunque este último también se ha observado entregando ransomware como Lockbit 3.0 en el pasado.
Otra distinción crucial entre las dos familias de malware es que, a diferencia de Emmenhtal, Amadey puede recopilar información del sistema y puede extenderse en cuanto a características con una matriz de complementos DLL que permiten una funcionalidad específica, como robo de credenciales o captura de captura de pantalla.
El análisis de Cisco Talos de la campaña de abril de 2025 ha descubierto tres cuentas de GitHub (Legendary99999, DFFE9EWF y MILIDMDDDS) que se utilizan para organizar complementos Amadey, cargas útiles y otros guiones de ataque malicioso, que incluyen Lumma Staaler, Redline Stealer y Rhadamanthys Stealer. Desde entonces, las cuentas han sido retiradas por Github.
Se ha encontrado que algunos de los archivos JavaScript presentes en los repositorios de GitHub son idénticos a los scripts Emmenthal empleados en la campaña Smokeloader, la principal diferencia es las cargas útiles descargadas. Específicamente, los archivos del cargador Emmenhtal en los repositorios sirven como vector de entrega para Amadey, Asyncrat y una copia legítima de Putty.exe.
También se descubre en los repositorios de GitHub un guión de Python que probablemente representa una evolución de Emmenhtal, incorporando un comando de PowerShell integrado para descargar Amadey de una dirección IP codificada.
Se cree que las cuentas de GitHub utilizadas para organizar las cargas útiles son parte de una operación MAAS más grande que abusa de la plataforma de alojamiento de código de Microsoft para fines maliciosos.
La divulgación se produce cuando Trellix detalló una campaña de phishing que propaga a otro cargador de malware conocido como cargador de calamares en ataques cibernéticos dirigidos contra instituciones de servicios financieros en Hong Kong. Los artefactos adicionales desenterrados por el proveedor de seguridad sugieren que los ataques relacionados pueden estar en marcha en Singapur y Australia.
 |
| Cadena de ataque de cargador de calamares |
SquidLoader es una amenaza formidable debido a la diversa gama de técnicas anti-análisis, anti-sandbox y anti-debug empaquetadas en ella, lo que le permite evadir la detección y obstaculizar los esfuerzos de investigación. También puede establecer la comunicación con un servidor remoto para enviar información sobre el host infectado e inyectar la carga útil de la próxima etapa.
«El cargador de calamares emplea una cadena de ataque que culminó con el despliegue de un balance de ataque de cobalto para el acceso y el control remoto», dijo el investigador de seguridad Charles Crofford. «Sus intrincadas técnicas anti-análisis, anti-sandbox y anti-fondos, junto con sus tasas de detección dispersas, representan una amenaza significativa para las organizaciones específicas».
Los hallazgos también siguen el descubrimiento de una amplia gama de campañas de ingeniería social que están diseñadas para distribuir varias familias de malware –
- Los ataques probablemente realizados por un grupo motivado financieramente denominado UNC5952 que aprovechan los temas de factura en los correos electrónicos para servir a los droppers maliciosos que conducen al despliegue de un descargador llamado Chainverb que, a su vez, ofrece el software de acceso remoto de CONNECTWISE
- Ataques que emplean señuelos relacionados con los impuestos para engañar a los destinatarios para que haga clic en un enlace que finalmente ofrece un instalador de captura de pantalla de conexión con conectas con el pretexto de lanzar un documento PDF
- Ataques que hacen uso de los temas de la Administración del Seguro Social (SSA) de los Estados Unidos para cosechar credenciales de usuarios o instalar la versión troyanizada de Connectwise Screenconnect, después de qué víctimas reciben instrucciones de instalar y sincronizar la aplicación de enlace de teléfono de Microsoft para que posiblemente recopile mensajes de texto y códigos de autenticación de dos factores enviados al dispositivo móvil conectado
- Ataques que aprovechan un kit de phishing llamado logokit para permitir la recolección de credenciales creando páginas de inicio de sesión parecidas y alojándolas en la infraestructura de Amazon Web Services (AWS) para evitar la detección, al tiempo que integran simultáneamente Cloudflare Turnstile Captcha VERIFICA
- Ataques que hacen uso de otro kit de phishing basado en frascos de Python personalizado para facilitar el robo de credenciales con un esfuerzo técnico mínimo
- Ataques con nombre en código Scanception que emplean códigos QR en los archivos adjuntos de correo electrónico de PDF a los usuarios directos a páginas de cosecha de credenciales imitando el portal de inicio de sesión de Microsoft
- Ataques que emplean la táctica de clickfix para entregar rata de roble de rhadamanthys y redes de apoyo
- Los ataques que utilizan ofrendas de encubrimiento como servicio (CAAS) como el engaño tecnológico y JS hacen clic en Cloaker para ocultar sitios web de phishing y maliciosos de escáneres de seguridad y muestran solo a las víctimas previstas como una forma de volar bajo el radar
- Ataques que aprovechan HTML y JavaScript para crear correos electrónicos maliciosos de aspecto realista que puedan omitir las sospechas del usuario y las herramientas de detección tradicionales
- Ataques dirigidos a proveedores de servicios B2B que utilizan archivos de imagen de gráficos vectoriales escalables (SVG) en correos electrónicos de phishing y que incusaron a JavaScript offuscar para facilitar las redirecciones a la infraestructura controlada por los atacantes utilizando la función Window.location.href una vez que se abren en una navegación web.
Según los datos compilados por Cofense, el uso de códigos QR representaron el 57% de las campañas con tácticas, técnicas y procedimientos (TTP) avanzados en 2024. Otros métodos notables incluyen el uso de archivos adjuntos de archivos protegidos con contraseña en correos electrónicos para obtener puertas de correo electrónico seguras (SEG).
«Al proteger la contraseña del archivo, los actores de amenaza evitan que los SEG y otros métodos escaneen su contenido y detecten lo que generalmente es un archivo claramente malicioso», dijo el investigador de Cofense, Max Gannon.
