El malware OnyxC2 compromete más de 200 aplicaciones mediante técnicas avanzadas de evasión

Introducción

La proliferación de stealer malware cada vez más sofisticados representa una amenaza en constante evolución para los entornos empresariales. Entre las últimas amenazas identificadas por los investigadores de seguridad se encuentra OnyxC2, una herramienta maliciosa que destaca por su capacidad de evadir mecanismos de detección y su alta modularidad. Disponible en el mercado clandestino a través de un modelo de suscripción mensual desde 250 dólares, OnyxC2 se posiciona como una opción atractiva para operadores de amenazas que buscan capacidades de robo de datos a nivel empresarial.

Contexto del Incidente o Vulnerabilidad

OnyxC2 fue descubierto recientemente en foros de ciberdelincuencia y canales de Telegram frecuentados por actores de amenazas de habla rusa. Desde su aparición en 2024, el stealer ha llamado la atención por su orientación a una amplia gama de objetivos, entre ellos más de 200 aplicaciones y extensiones, incluyendo navegadores web, clientes de correo, aplicaciones de mensajería y wallets de criptomonedas. Su modelo de software como servicio (MaaS) y su facilidad de personalización lo hacen especialmente peligroso en campañas dirigidas a empresas de todos los sectores, desde finanzas hasta tecnología.

Detalles Técnicos

El núcleo de OnyxC2 está diseñado para eludir sistemas de detección y dificultar el análisis forense. Emplea una combinación de técnicas avanzadas, entre las que destacan:

– **Carga de payloads cifrados:** El malware distribuye sus componentes en formato cifrado, lo que complica la inspección mediante herramientas tradicionales de análisis de tráfico y archivos.
– **DLL sideloading:** Aprovecha la técnica de carga lateral de DLLs para ejecutar código malicioso a través de binarios legítimos y firmados, reduciendo el riesgo de ser identificado por soluciones EDR y antivirus.
– **Ejecución en memoria (fileless):** Sus cargas maliciosas se ejecutan directamente en la memoria del sistema, evitando el uso de archivos persistentes en disco y dificultando la detección basada en firmas.
– **Comando y control (C2):** El framework de C2 permite la gestión remota de bots, la exfiltración selectiva de información y la actualización dinámica de payloads. Utiliza canales cifrados (TLS/SSL) para comunicarse con la infraestructura de los operadores.
– **Compatibilidad y persistencia:** OnyxC2 es compatible con sistemas Windows (versiones desde Windows 7 hasta Windows 11), y emplea mecanismos de persistencia como la manipulación de claves de registro y la creación de tareas programadas.

Entre los indicadores de compromiso (IoC) asociados destacan hashes de archivos, direcciones de C2 y rutas de DLLs laterales utilizadas por el malware. Las tácticas, técnicas y procedimientos (TTP) se alinean con los identificadores MITRE ATT&CK T1055 (Process Injection), T1071 (Application Layer Protocol), T1027 (Obfuscated Files or Information) y T1574.002 (DLL Side-Loading).

Impacto y Riesgos

La capacidad de OnyxC2 para comprometer más de 200 aplicaciones lo convierte en una amenaza transversal. Entre los riesgos principales se encuentra la exfiltración masiva de credenciales, tokens de acceso, cookies de sesión, datos bancarios y wallets de criptomonedas. Esta información puede ser utilizada para movimientos laterales, escalada de privilegios y ataques de ransomware.

Según estimaciones recientes, el 35% de las infecciones de stealer malware en 2024 han implicado robos de credenciales corporativas reutilizadas en múltiples servicios. La venta de OnyxC2 como MaaS, además, democratiza el acceso a herramientas avanzadas para operadores poco experimentados, incrementando el riesgo global para empresas de todos los tamaños.

Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de OnyxC2, se recomiendan las siguientes acciones:

1. **Actualización de software y parches:** Mantener todos los sistemas y aplicaciones actualizados para minimizar vulnerabilidades explotables por técnicas de DLL sideloading.
2. **Monitorización de procesos anómalos:** Implementar soluciones EDR que detecten ejecuciones en memoria y anomalías en la carga de DLLs.
3. **Segmentación de red y control de acceso:** Limitar los privilegios de usuario y segmentar la red para reducir el alcance de movimientos laterales.
4. **Análisis proactivo de IoC:** Integrar los indicadores de compromiso de OnyxC2 en las plataformas SIEM y realizar búsquedas retrospectivas.
5. **Formación y concienciación:** Capacitar a los empleados sobre phishing y técnicas de ingeniería social, vectores habituales de entrega de stealer malware.

Opinión de Expertos

Especialistas en ciberseguridad, como miembros de MalwareHunterTeam y analistas de SOC, coinciden en que OnyxC2 representa una evolución significativa en el MaaS. Según declaraciones recientes, “la combinación de ejecución fileless, payloads cifrados y la flexibilidad en la infraestructura C2 coloca a OnyxC2 entre las amenazas más difíciles de erradicar en entornos corporativos modernos”.

Implicaciones para Empresas y Usuarios

La facilidad de acceso a OnyxC2 y su bajo coste respecto a la magnitud del daño potencial suponen un desafío crítico para los responsables de seguridad. Empresas sujetas a regulaciones como GDPR o NIS2 pueden enfrentarse a graves sanciones si no implementan controles adecuados ante este tipo de amenazas. Los usuarios también ven incrementado el riesgo de robo de identidad y fraude financiero, especialmente si reutilizan contraseñas o almacenan información sensible en navegadores y aplicaciones comprometidas.

Conclusiones

OnyxC2 marca un punto de inflexión en la oferta de stealer malware, combinando técnicas avanzadas de evasión, modularidad y un modelo MaaS accesible. La detección y respuesta tempranas, junto a una estrategia integral de defensa en profundidad, resultan imprescindibles para mitigar su impacto. Las organizaciones deben reforzar sus controles y mantener una vigilancia activa ante la rápida evolución de este tipo de amenazas.

(Fuente: www.securityweek.com)