¿Puede ponerse en pie el verdadero Slim Shady? EMINэM, el ciberdelincuente que está detrás del software malicioso que afecta a EMEA y APAC

¿Puede ponerse en pie el verdadero Slim Shady? EMINэM, el ciberdelincuente que está detrás del software malicioso que afecta a EMEA y APAC

 

• Aunque se anuncian como herramientas legítimas, Remcos y GuLoader son malware disfrazado que se utiliza mucho en ciberataques
• Check Point Research (CPR) tiene pruebas de que el distribuidor está involucrado en la ciberdelincuencia, y que ha utilizado su plataforma en favor del cibercrimen, mientras obtiene beneficios.
• CPR ha compartido sus hallazgos a la fuerza policial pertinente

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha revelado la identidad del ciberdelincuente (conocido como EMINэM) responsable del malware que afecta a EMEA y APAC. El atacante está propagando malware a través de un software aparentemente legítimo. Según ThreatCloud AI de Check Point Software, GuLoader afecta cada mes a 1 de cada 41 organizaciones financieras y Remcos impacta en 1 de cada 35 organizaciones educativas mensualmente.

Remcos Remote Access Trojan y GuLoader (también conocidos como CloudEyE y TheProtect) se anuncian como herramientas legítimas, pero se utilizan en ciberataques y aparecen  entre los programas maliciosos más frecuentes. De hecho, los vendedores de estas herramientas de software son muy conscientes de que los ciberdelincuentes las emplean para ocultar sus actividades ilícitas.

El software «legítimo» se convierte en la opción preferida de los ciberdelincuentes

En una tendencia alarmante destacada en el  2023 Mid-Year Security Report de Check Point Software, el software aparentemente legítimo se ha convertido en la opción preferida de los atacantes. Ejemplos notables son el troyano de acceso remoto (RAT) Remcos y GuLoader, ambos anunciados como herramientas legítimas pero muy utilizados en ciberataques (programas maliciosos más frecuentes). Aunque sus vendedores afirman que su uso es legal, Check Point Research ha detectado una fuerte conexión entre estas herramientas y la ciberdelincuencia.

Mientras Remcos lucha por evadir la detección de los antivirus, GuLoader actúa como su aliado, ayudándole a eludir las medidas de protección. Los investigadores han descubierto que GuLoader se renombra y vende como un crypter, asegurando que la payload de Remcos permanezca totalmente indetectable para los antivirus. Sorprendentemente, el mismo administrador gestiona la plataforma, vendiendo ambas herramientas a la vez que opera el sitio web oficial y los canales de Telegram para Remcos. Así se han encontrado pruebas convincentes de que este individuo no sólo emplea malware como Amadey y Formbook, sino que también utiliza GuLoader para protegerse de la detección. Los nombres de dominio y las direcciones IP asociadas con el vendedor de Remcos y GuLoader aparecen en informes de analistas de malware.

GuLoader y Remcos en 2023 – Los sectores de Finanzas y Educación como objetivos clave

Según la inteligencia de Check Point ThreatCloud AI:

• GuLoader:
• En el sector de Finanzas/Banca, una media del 2,4% de las empresas a nivel global se vieron afectadas mensualmente (equivalente a 1 de cada 41 organizaciones)
• Su impacto más sustancial ha sido en la región EMEA, con un impacto medio mensual del 4,7% (equivalente a 1 de cada 21 compañías)

 

• Remcos:
• En el sector Educación/Investigación, una media del 2,8% de las organizaciones a nivel mundial se vieron afectadas mensualmente (equivalente a 1 de cada 35 organizaciones)
• Mayor impacto en la región APAC, con una media mensual del 2% (1 de cada 50 organizaciones)

Los investigadores de Check Point Research han descubierto una clara conexión entre un individuo conocido como EMINэM y dos páginas web: BreakingSecurity y VgoStore. En ellas se venden abiertamente Remcos y GuLoader, renombrados como TheProtect. Asimismo, existen pruebas de la implicación de EMINэM en la distribución de malware dañino, como FormBook info stealer y Amadey Loader. Este ciberdelincuente se aprovecha de TheProtect para evadir la detección antivirus para sus propias actividades maliciosas.

La aparente legitimidad de BreakingSecurity, VgoStore y sus productos no son más que una fachada. EMINэM y quienes están detrás de estas plataformas forman parte de la comunidad de ciberdelincuentes y utilizan sus webs para facilitar acciones ilegales y lucrarse con la venta de herramientas maliciosas.

Este descubrimiento pone de relieve la necesidad constante de vigilancia y cooperación en la lucha contra la ciberdelincuencia. Las fuerzas del orden, los profesionales de la ciberseguridad y la comunidad en general deben colaborar para desenmascarar y neutralizar este tipo de amenazas.

Check Point Research ha comunicado sus hallazgos a las autoridades competentes para que continúen con la investigación.

Para leer la investigación completa: https://research.checkpoint.com

. Leer artículo completo en Frikipandi ¿Puede ponerse en pie el verdadero Slim Shady? EMINэM, el ciberdelincuente que está detrás del software malicioso que afecta a EMEA y APAC.