Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

LEGIONLOADER: DOWNLOADER QUE ABUSA DE INSTALADORES FALSOS Y SERVICIOS EN LA NUBE

17/02/2025

LEGIONLOADER: DOWNLOADER QUE ABUSA DE INSTALADORES FALSOS Y SERVICIOS EN LA NUBE
LegionLoader es un downloader escrito en C/C++ que fue identificado por primera vez en 2019. También es conocido por otros nombres, como Satacom, RobotDropper y CurlyGate.

Descripción:

Esta amenaza ha sido utilizada para distribuir diversas amenazas, incluyendo extensiones maliciosas para navegadores como Chrome, las cuales son capaces de alterar contenidos en correos electrónicos y monitorear la actividad de navegación. Entre estas extensiones, destaca CursedChrome, diseñada para convertir navegadores comprometidos en proxies HTTP, permitiendo a los ciberdelincuentes navegar de manera autenticada como las víctimas en múltiples plataformas.

Desde agosto de 2024, se ha observado que LegionLoader distribuye stealers junto con extensiones maliciosas para Chrome, incluyendo variantes como LummaC2, Rhadamanthys y StealC. Su método de propagación se basa en descargas engañosas que inducen a los usuarios a visitar sitios web que alojan instaladores falsos. Una vez descargado, aprovecha servicios de almacenamiento en la nube, como RapidShare y MEGA, para entregar sus cargas útiles maliciosas.

 

Vector de infección:

LegionLoader utiliza un vector de infección basado principalmente en descargas engañosas y sitios web maliciosos. Los ciberdelincuentes atraen a los usuarios para que descarguen instaladores falsos, que aparentan ser software legítimo o herramientas útiles. Estos instaladores están alojados en plataformas de almacenamiento en la nube como RapidShare y MEGA, facilitando la distribución de las cargas útiles maliciosas.

Una vez que la víctima ejecuta el archivo descargado, generalmente un instalador MSI malicioso, este establece comunicación con un servidor de comando y control (C2). Durante esta interacción, el servidor proporciona contraseñas para descifrar archivos ZIP protegidos incrustados en el instalador. Estos archivos contienen componentes adicionales, como DLL maliciosas, que son cargadas mediante la técnica de side-loading, explotando binarios legítimos para evitar detección y ejecutar el malware.

 

Recomendaciones:

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones: 

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (los hash md5, sha1 y sha256 son equivalentes).
  • Mantener actualizados los sistemas operativos, navegadores y todas las aplicaciones instaladas para evitar la explotación de vulnerabilidades conocidas.
  • Configurar filtros de contenido web para bloquear sitios maliciosos y restringir las descargas desde fuentes no verificadas.