La campaña de malware SquidLoader afecta a empresas financieras de Hong Kong

El Centro de Investigación Avanzada de Trellix ha descubierto una nueva ola de malware SquidLoader altamente sofisticado que ataca activamente a instituciones financieras en Hong Kong . Este descubrimiento, detallado en el análisis técnico de Trellix , compartido con Hackread.com, destaca una amenaza significativa debido a las tasas de detección casi nulas del malware en VirusTotal en el momento del análisis. La evidencia también apunta a una campaña más amplia, con muestras similares observadas dirigidas a entidades en Singapur y Australia.

El ataque comienza con correos electrónicos de phishing dirigidos , escritos en mandarín y diseñados con precisión para suplantar la identidad de instituciones financieras. Estos correos entregan un archivo RAR protegido con contraseña que contiene un ejecutable malicioso. El cuerpo del correo es crucial para el engaño, ya que proporciona la contraseña del archivo adjunto. El asunto suele simular ser un "Formulario de registro para inversores de Bond Connect que gestionan operaciones de cambio de divisas a través de bancos extranjeros".

El correo electrónico afirma provenir de un representante financiero y solicita al destinatario que verifique y confirme la "copia escaneada del formulario de registro de negocios de divisas para inversores de Bond Connect" adjunta. Este archivo está astutamente camuflado, no solo imitando el icono de un documento de Microsoft Word, sino también adoptando falsamente las propiedades de un archivo AMDRSServ.exe legítimo para eludir el escrutinio inicial.

Tras su ejecución, SquidLoader desencadena una infección compleja de cinco etapas. Primero, descomprime su carga útil principal y luego se conecta con un servidor de Comando y Control ( C2 ) mediante una ruta URL que imita servicios legítimos de Kubernetes (p. ej., /api/v1/namespaces/kube-system/services ) para integrarse con el tráfico normal de la red.

Esta comunicación inicial de C2 transmite a sus operadores información crítica del host, como la dirección IP, el nombre de usuario, el nombre del equipo y la versión de Windows. Finalmente, el malware descarga y ejecuta una baliza Cobalt Strike, que establece una conexión con un servidor C2 secundario en una dirección diferente (p. ej., 182.92.239.24 ), lo que otorga a los atacantes acceso remoto persistente.

Una razón clave del peligro de SquidLoader reside en su amplia gama de técnicas antianálisis, antisandbox y antidepuración. Estas incluyen la búsqueda de herramientas de análisis específicas como IDA Pro ( ida.exe ) o Windbg ( windbg.exe ) y nombres de usuario comunes en entornos sandbox .

En particular, emplea un sofisticado truco de subprocesos que implica largos periodos de suspensión y llamadas a procedimientos asíncronos (APC) para detectar y evadir entornos emulados. Si detecta algún intento de análisis, el malware se autodetiene. Tras las comprobaciones, muestra un mensaje emergente engañoso en mandarín: «El archivo está dañado y no se puede abrir», que requiere la interacción del usuario, lo que puede frustrar los entornos de pruebas automatizados.

“Sus intrincadas técnicas anti-análisis, anti-sandbox y anti-depuración, junto con sus escasas tasas de detección, plantean una amenaza significativa para las organizaciones objetivo”, enfatizaron los investigadores de Trellix en su informe .

Los ataques observados en varios países resaltan la naturaleza global de esta amenaza en evolución, e insta a las instituciones financieras de todo el mundo, en particular de Hong Kong, Singapur y Australia, a aumentar su seguridad contra adversarios tan evasivos.