NUEVO LOADER DENOMINADO JINXLOADER PARA ENTREGAR DIFERENTES CARGAS ÚTILES
18/04/2024
Descripción
JinxLoader fue observado por primera vez en hackforums el 30 de abril de 2023, con tarifas mensuales de $60 dólares, anuales de $120 o una tarifa de por vida de $200 dólares.
Los ataques inician con correos electrónicos tipo phishing. Estos correos instan a los destinatarios a abrir archivos adjuntos RAR protegidos con contraseña, que, al ejecutarse, eliminan el ejecutable JinxLoader, funcionando como puerta trasera (backdoor) para entregar diferentes cargas útiles como: Formbook o XLoader.
Vector de infección
JinxLoader se distribuye a través de correos electrónicos tipo phishing. Estos correos electrónicos utilizan técnicas de ingeniería social, adjuntando archivos RAR protegidos con contraseña. Una vez que los destinatarios abren estos artefactos, se ejecuta el cargador JinxLoader, que actúa como puerta de entrada para cargar cargas útiles maliciosas adicionales, como Formbook o XLoader.
Recomendaciones
JinxLoader puede ser mitigado o detectado en su infraestructura tecnológica aplicando las siguientes recomendaciones:
- Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (Los hash md5, sha1 y sha256 son equivalentes).
- Limitar los privilegios de los usuarios y empleados a niveles mínimos necesarios. Esto reduce la superficie de ataque y la capacidad de JinxLoader para propagarse lateralmente en la red.
- Realizar análisis regular de logs y monitoreo de tráfico para identificar patrones de comportamiento sospechosos. Esto puede ayudar a detectar actividades asociadas con JinxLoader.
- Utilizar soluciones de filtrado de contenido web para bloquear el acceso a sitios web maliciosos y para detectar descargas de archivos sospechosos.
Leer noticia: https://thehackernews.com/2024/01/new-jinxloader-targeting-users-with.html