Nueva variante de KoiLoader utiliza PowerShell para evadir detección en campañas de malware
Los investigadores en ciberseguridad han identificado una campaña de malware sofisticada que emplea una nueva variante de KoiLoader, un sistema modular de entrega de cargas maliciosas conocido por distribuir robadores de información como Koi Stealer. Esta versión actualizada utiliza scripts de PowerShell incrustados en archivos de acceso directo (LNK) de Windows para eludir los mecanismos tradicionales de detección, lo que demuestra una evolución preocupante en las metodologías de ataque.
Técnicas de evasión y propagación
La campaña comienza con archivos LNK maliciosos diseñados para ejecutar scripts de PowerShell ocultos. Estos scripts descargan y ejecutan KoiLoader desde servidores controlados por los atacantes. El uso de PowerShell permite a los actores de amenazas aprovechar una herramienta legítima del sistema operativo, lo que dificulta su identificación por parte de soluciones de seguridad tradicionales.
- Los archivos LNK contienen comandos PowerShell ofuscados para evitar análisis estáticos.
- El payload final (KoiLoader) se descarga en memoria, evitando la escritura en disco.
- Se utilizan dominios comprometidos y servicios en la nube para alojar los componentes maliciosos.
Capacidades de KoiLoader y objetivos
KoiLoader actúa como un dropper modular capaz de entregar múltiples tipos de malware secundarios, incluyendo:
- Robadores de información (como Koi Stealer)
- Ransomware
- Backdoors para acceso remoto
Los objetivos principales parecen ser organizaciones en sectores financieros y tecnológicos, aunque también se han observado ataques contra individuos con acceso a información valiosa.
Recomendaciones de mitigación
Para protegerse contra esta amenaza, se recomienda:
- Implementar restricciones en la ejecución de scripts PowerShell mediante políticas de grupo.
- Monitorizar actividades inusuales de PowerShell, especialmente aquellas que involucren descargas desde Internet.
- Actualizar soluciones EDR/XDR para detectar comportamientos anómalos asociados con esta técnica.
- Educar a los usuarios sobre el riesgo de abrir archivos adjuntos inesperados, incluso si parecen legítimos.
Esta campaña destaca la creciente sofisticación de los actores de amenazas y su capacidad para adaptar técnicas conocidas para evadir las defensas de seguridad. La combinación de archivos LNK maliciosos con PowerShell ofuscado representa un desafío significativo para los equipos de seguridad.
