Tecnología

EMINeM, el ciberdelincuente que está detrás de la alianza entre los ‘malware’ GuLoader y Remcos

24 de septiembre de 2023

Los investigadores de Check Point Research han identificado una relación entre los programas maliciosos GuLoader y Remcos, que se venden como herramientas legítimas detrás de los cuales se encuentra el mismo ciberdelincuente, EMINeM.

Remcos Remote Access Trojan y GuLoader (también conocidos como CloudEyE y TheProtect) se anuncian como herramientas legítimas, pero se utilizan en ciberataques y aparecen entre los programas maliciosos más frecuentes.

Aunque sus vendedores afirman que su uso es legal, Check Point Research ha detectado una conexión entre estas herramientas y la ciberdelincuencia: mientras Remcos lucha por evadir la detección de los antivirus, GuLoader actúa como su aliado, ayudándole a eludir las medidas de protección, como detallan en una nota de prensa.

Los investigadores han descubierto que GuLoader se renombra y vende como un crypter, asegurando que la carga útil de Remcos permanezca totalmente indetectable para los antivirus. Y el mismo administrador gestiona la plataforma, vendiendo ambas herramientas a la vez que opera el sitio web oficial y los canales de Telegram para Remcos.

Como señalan desde Check Point Research, se han encontrado pruebas convincentes de que este individuo también utiliza GuLoader para protegerse de la detección. Los nombresde dominio y las direcciones IP asociadas con el vendedor de Remcos y GuLoader aparecen en informes de analistas de ‘malware’.

Profundizando en ello, los investigadores de Check Point Research han descubierto una clara conexión entre un individuo conocido como EMINeM y dos páginas web: BreakingSecurity y VgoStore.

En ellas se venden abiertamente Remcos y GuLoader, renombrados como TheProtect. Asimismo, aseguran que existen pruebas de la implicación de EMINeM en la distribución de ‘malware’ dañino, como FormBook info stealer y Amadey Loader. Este ciberdelincuente aprovecha TheProtect para evadir la detección antivirus para sus propias actividades maliciosas.

Los sectores de finanzas y educación como objetivos clave

Según la inteligencia de Check Point ThreatCloud AI, GuLoader dirige su amenaza principalmente contra organizaciones del sector de las finanzas y la banca.

Según sus datos, una media del 2,4 por ciento de las empresas a nivel global se vieron afectadas mensualmente (equivalente a una de cada 41 organizaciones).

Su impacto más sustancial ha sido en la región EMEA, con un impacto medio mensual del 4,7 por ciento (equivalente a una de cada 21 compañías).

Por su parte, Remcos se dirige contra el sector educativo y de la investigación, con una media del 2,8 por ciento de las organizaciones a nivel mundial se vieron afectadas mensualmente (equivalentes a una de cada 35 organizaciones).

En este caso, señalan que tiene mayor impacto en la región APAC, con una media mensual del 2 por ciento (una de cada 50 organizaciones).