El sector financiero de Hong Kong se afirma con una nueva oleada de muestras de cargadores de calamares que se deslizan más allá de las defensas convencionales casi sin banderas antivirus.
Primero visto a principios de julio de 2025, el cargador llega a través de correos electrónicos de phishing de lanza cuidadosamente redactados escritos en chinos simplificados y accesorios RAR protegidos con contraseña que se disfrazan de papeleo legítimo de registro de bonos.
Una vez que el usuario extrae el archivo y hace doble clic en lo que parece ser un icono de Microsoft Word, la ejecución gira a un archivo de PE malicioso diseñado para parecerse a AMDRSServ.exe de AMD, estableciendo silenciosamente el trabajo de compromiso.
Dentro de ese ejecutable falsificado, el control se secuestra en secreto en el epílogo CRT mucho antes de que se alcance Winmain (), lo que permite que el cargador de calamares se desempacar e ilumine su cadena de infección en varias etapas.
Analistas de Trellix anotado Que esta primera etapa simplemente itera a través de 78,469 bytes empaquetados, aplicando una operación XOR 0XF4 y agregando 19 a cada valor para revelar el código verdadero del cargador.
para (size_t i = 0; i <78469; ++ i) {empacado (i) = (empacado (i) ^ 0xf4) +19; }
Con la carga útil descifrada, la etapa 2 camina el bloque de entorno del proceso para ubicar ntdll.dll y kernel32.dll, resuelve dinámicamente decenas de API y almacena sus direcciones: hilo, PEB y metadatos TEB, en una estructura de pila personalizada cuyo puntero está oculto dentro de la memoria de PEB no utilizada.
Este juego táctico de la mano erradica las cuerdas estáticas y los frustros a los cazadores basados en la firma.
Los investigadores de Trellix identificaron el objetivo final de Squidloader como el lanzamiento en la memoria de una baliza de Strike Cobalt que informa a los puntos finales con temática de Kubernetes, como 39.107.156.136/API/V1/Namespaces/Kube-System/Services antes de entregar a un segundo anfitrión de Beacon en 182.92.239.24.
Para las víctimas, el resultado es un acceso remoto encubierto que combina perfectamente con el tráfico HTTPS normal, mientras que los equipos de seguridad permanecen ciegos a la violación.
Tácticas de evasión de detección
Los trucos más ingeniosos del cargador giran en torno a las exhaustivas rutinas anti-análisis que frustran el sandboxing y la depuración en vivo por igual.
Al principio de la etapa 3, SquidLoader invoca NtquerySystemInformation con el selector indocumentado de SystemKernelDebuggerInformation; Cualquier código de retorno distinto de cero señala un depurador de kernel y desencadena autodestrucción.
Luego enumera los procesos de ejecución a través de SystemProcessInformation, en la lista negra de una lista de depugadores de lavandería, desde oldbg.exe hasta x64dbg.exe, junto con agentes AV comunes como msmpeng.exe y kav.exe; La detección de cualquier objetivo nuevamente provoca una terminación inmediata.
Un truco de hilo/APC particularmente espina gira un hilo de trabajadores que duerme durante 1,000,000 de ms, coloca un APC a sí mismo y espera, los emuladores que aceleran el sueño () o los valores de entrega de la entrega de APC de Mishandle devueltos inesperados Ntstatus, lo que hace que los malware salgan antes de que los analistas puedan adjuntar.
Finalmente, un cuadro de mensaje en el lenguaje de mandarina: “el archivo está dañado y no se puede abrir”) demanda la interacción del usuario, una forma simple pero efectiva de evitar las cajas de arena automatizadas que carecen de control de la GUI.
Juntas, estas capas se aseguran de que para cuando los respondedores de incidentes se den cuenta de que una baliza está llamando a casa, el cargador de calamares ya se ha deslizado debajo del sonar y fuera al mar.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
