25 de junio de 2024Robo de datos en salas de redacción / Seguridad web
Se ha observado que un actor de amenazas previamente no documentado conocido como Boolka utiliza scripts maliciosos para comprometer sitios web y entregar un troyano modular con nombre en código BMANAGER.
“Los actores de amenazas detrás de este ataque han estado realizando ataques oportunistas de inyección SQL contra sitios web en varios países desde al menos 2022”, dijo el investigador del Grupo IB Rustam Mirkasimov en un informe publicado la semana pasada.
“Durante los últimos tres años, los actores de amenazas han estado infectando sitios web vulnerables utilizando scripts JavaScript maliciosos que pueden interceptar datos ingresados en sitios web infectados”.
El nombre de Boolka proviene del código JavaScript que se inserta en los sitios web y envía balizas a un servidor de comando y control llamado “boolka”.[.]Cada vez que un visitante desprevenido visita un sitio infectado, aparece una advertencia “tk”.
Además, este JavaScript está diseñado para recopilar y extraer entradas e interacciones del usuario en formato codificado Base64, que puede ser utilizado por malware para obtener información confidencial, como credenciales y otra información personal.
Además, el malware redirige a los usuarios a una página de carga falsa y solicita a las víctimas que descarguen e instalen una extensión del navegador, que en realidad arroja un descargador de troyanos BMANAGER y una URL codificada para intentar recuperar el malware. El marco de entrega de malware se basa en el marco BeEF.
El troyano, por otro lado, utiliza BMBACKUP (recopila archivos de una ruta específica), BMHOOK (registra aplicaciones que se están ejecutando y tienen foco en el teclado), BMLOG (registra las pulsaciones de teclas) y BMREADER (exporta datos robados). Conducto para implementar cuatro módulos adicionales, que incluyen: También utiliza una tarea programada para establecer la persistencia en el host.
“La mayoría de las muestras utilizan bases de datos SQL locales”, señalan los investigadores. “La ruta y el nombre de esta base de datos están codificados en el ejemplo y se encuentran en C:\Users\{user}\AppData\Local\Temp\coollog.db, donde usuario es el nombre de usuario del usuario que inició sesión”.
Boolka es el tercer actor de amenazas que utiliza ataques de inyección SQL para robar datos confidenciales en los últimos meses, después de GambleForce y ResumeLooters.
“Las actividades de Boolka, desde los ataques oportunistas de inyección SQL en 2022 hasta el desarrollo de su propia plataforma de distribución de malware y troyanos como BMANAGER, han hecho que las tácticas del grupo se vuelvan más sofisticadas con el tiempo. Los investigadores concluyeron que
“La práctica de inyectar fragmentos de JavaScript maliciosos en sitios web vulnerables para la filtración de datos y luego utilizar el marco BeEF para distribuir malware refleja el aumento gradual de las capacidades de los atacantes”.
¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
Fuente: https://thehackernews.com/2024/06/new-cyberthreat-boolka-deploying.html