Una investigación de Check Point revela la identidad del ciberdelincuente conocido como EMINэM, responsable del malware que afecta a EMEA y APAC. El atacante está propagando malware a través de un software aparentemente legítimo. Según ThreatCloud AI de Check Point Software, GuLoader afecta cada mes a 1 de cada 41 organizaciones financieras y Remcos impacta en 1 de cada 35 organizaciones educativas mensualmente.

Remcos Remote Access Trojan y GuLoader (también conocidos como CloudEyE y TheProtect) se anuncian como herramientas legítimas, pero se utilizan en ciberataques y aparecen entre los programas maliciosos más frecuentes. «De hecho, los vendedores de estas herramientas de software son muy conscientes de que los ciberdelincuentes las emplean para ocultar sus actividades ilícitas», resaltan los expertos de Check Point.

El software ‘legítimo’ se convierte en la opción preferida de los ciberdelincuentes
En una tendencia alarmante destacada en el  2023 Mid-Year Security Report de Check Point Software. Ejemplos notables son el troyano de acceso remoto (RAT) Remcos y GuLoader, ambos anunciados como herramientas legítimas pero muy utilizados en ciberataques (programas maliciosos más frecuentes). Aunque sus vendedores afirman que su uso es legal, Check Point Research ha detectado una fuerte conexión entre estas herramientas y la ciberdelincuencia.

Mientras Remcos lucha por evadir la detección de los antivirus, GuLoader actúa como su aliado, ayudándole a eludir las medidas de protección. Los investigadores han descubierto que GuLoader se renombra y vende como un crypter, asegurando que la payload de Remcos permanezca totalmente indetectable para los antivirus.

«Sorprendentemente, el mismo administrador gestiona la plataforma, vendiendo ambas
herramientas a la vez que opera el sitio web oficial y los canales de Telegram para Remcos. Así se han encontrado pruebas convincentes de que este individuo no sólo emplea malware como Amadey y Formbook, sino que también utiliza GuLoader para protegerse de la detección. Los nombres de dominio y las direcciones IP asociadas con el vendedor de Remcos y GuLoader aparecen en informes de analistas de malware», subrayan en Check Point.

GuLoader protagoniza en el sector financiero ciberataques que afectan mensualmente al 2,4% de las empresas. En la región EMEA, es el 4,7%. Remcos aparece en ataques que afectan a una media del 2,8% de las empresas del sector de educación y de investigación, con un mayor impacto en Asia Pacífico.

Los investigadores de Check Point Research han descubierto una clara conexión entre un individuo conocido como EMINэM y dos páginas web: BreakingSecurity y VgoStore. En ellas se venden abiertamente Remcos y GuLoader, renombrados como TheProtect.

También existen pruebas de la implicación de EMINэM en la distribución de malware dañino, como FormBook info stealer y Amadey Loader. Este ciberdelincuente se
aprovecha de TheProtect para evadir la detección antivirus para sus propias actividades maliciosas.

«La aparente legitimidad de BreakingSecurity, VgoStore y sus productos no son más que una fachada. EMINэM y quienes están detrás de estas plataformas forman parte de la comunidad de ciberdelincuentes y utilizan sus webs para facilitar acciones ilegales y lucrarse con la venta de herramientas maliciosas», insisten en Check Point.

«Este descubrimiento pone de relieve la necesidad constante de vigilancia y cooperación en la lucha contra la ciberdelincuencia. Las fuerzas del orden, los profesionales de la ciberseguridad y la comunidad en general deben colaborar para desenmascarar y neutralizar este tipo de amenazas», subrayan en el grupo, que ha comunicado sus hallazgos a las autoridades competentes para que continúen con la
investigación.