JinxLoader Malware
Un nuevo malware llamado JinxLoader y desarrollado en el lenguaje de programación Go (Golang) ha sido descubierto por investigadores de Palo Alto Networks Unit 42 y Symantec. Está siendo utilizado por los ciberdelincuentes como un servicio de malware tipo suscripción, y logra distribuir payloads de próxima generación tales como Formbook o su sucesor XLoader. El nombre del malware está inspirado en el personaje del videojuego League Of Legends, Jinx. Los ciberdelincuentes utilizan los ataques de Phishing para poder introducir el malware en los sistemas de las víctimas. Los investigadores de Unit 42 desarrollaron un diagrama que explica todo el proceso del malware, el cual se mostrará a continuación.
Los investigadores observaron el malware por primera vez en noviembre de 2023, pero mencionaron que ya se había anunciado el mismo en el foro Hackforums desde abril del mismo año.
El ataque de Phishing incluye un mensaje de correo electrónico supuestamente de Abu Dhabi National Oil Company (ADNOC), intentando engañar a las víctimas para que descarguen un archivo .rar que está protegido por una contraseña que ellos muestran en el contenido del correo. Una vez que el archivo es abierto, la cadena de infección del malware comienza con el despliegue del payload de JinxLoader, que prosigue como puerta de entrada para los C2 de Formbook o XLoader.
En abril de 2023 el malware fue anunciado como un servicio de suscripción en el foro Hackforums, y los precios estaban en 60 dólares el mes, 120 dólares el año, o un pago único de 200 dólares para poseer el malware de por vida.
Recomendaciones
Recomendaciones:
- Concientización y preparación de los empleados sobre los métodos de Phishing e Ingeniería social.
- Mantener los sistemas y el software de seguridad actualizados.
- Realizar copias de seguridad o backups de forma regular.
- Tener filtros de correo electrónico y spam.
- Revisar continuamente los privilegios de los usuarios.
- Revisar los logs de ejecución de software de acceso remoto.
- Utilizar una solución EDR (Endpoint Detection and Response).
Los investigadores de Unit 42 publicaron los indicadores de compromiso obtenidos en un sitio de GitHub. Los indicadores de compromiso son los siguientes:
| Tipo | Indicador de compromiso | Descripción |
| SHA256 hash | 5c11e9204d181a28fb6ba97d0f26febe409e2151ae71c5aa63ea34ffb14ed383 | RFQ for HRI HOR RFX204847394304893545 Offshore Project.rar |
| SHA256 hash | 9b1090ff32a441a89294739884b9a0330e75497573dde39b6b79ac4dd0a9effd | RFQ for HRI HOR RFX204847394304893545 Offshore Project.zip |
| SHA256 hash | b7c66440c975bed86efe68c47c95bd1460ab8cf21bccacfc1e80c145e7be0f8b | RFQ for HRI HOR RFX204847394304893545 Offshore Project.exe |
| SHA256 hash | 08bf78e0c3c6250a295664c3fb4be7d05b90592260f979f87bb476638dd4a0a9 | XOR-encoded binary using the ASCII string 566 |
| SHA256 hash | c1d3ad3f518cf02925d304f1912860d01e8cfd8d2ed6f76bd200c7d25370206f | decoded DLL from the above XOR-encoded binary |
| SHA256 hash | edf824f5152829ef7be198c97a42e4ecd5ae9be37ef57051deda0435cc302063 | Formbook/XLoader "rre4" |
| Dominio | www.1214888[.]com | |
| Dominio | www.219855[.]xn--80aswg | |
| Dominio | www.autrevalevale[.]click | |
| Dominio | www.austintrafficlawyer[.]com | |
| Dominio | www.cjjmobbbshhhu[.]shop | |
| Dominio | www.e3iaibr[.]icu | |
| Dominio | www.infinite-7[.]com | |
| Dominio | www.julieannmirabel[.]online | |
| Dominio | www.ldhqi4[.]fun | |
| Dominio | www.ncdanmark[.]org | |
| Dominio | www.ofupakoshi[.]com | |
| Dominio | www.overthemoonphoto[.]com | |
| Dominio | www.taxhwangeub[.]com | |
| Dominio | www.terranovaservices[.]top | |
| Dominio | www.worldlife[.]casino | |
| Dominio | www.zkrbma[.]store | |
| IP | 46.183.221[.]59 port 80 |
Referencias
- Stallings, S., & Duncan, B. (2023, 29 diciembre). From DarkGate to ASyncRAT: Malware Detected and shared as Unit 42 Timely Threat Intelligence. Unit 42. Recuperado el 2 de enero de 2024 en: https://unit42.paloaltonetworks.com/unit42threat-intelligence-roundup/
- Paganini, P. (2024, 2 enero). Experts warn of JinxLoader loader used to spread Formbook and XLoader. Security Affairs. Recuperado el 2 de enero de 2024 en: https://securityaffairs.com/156760/malware/jinxloaderloader.html
- Newsroom. (2024, 1 enero). New JinxLoader targeting users with Formbook and XLoader malware. The Hacker News.Recuperado el 2 de enero de 2024 en: https://thehackernews.com/2024/01/newjinxloader-targeting-users-with.html
