Caminho Loader
Az Arctic Wolf egy új, brazil eredetű kiberbűnözői eszközről, a Caminho Loader szolgáltatásról számol be. A Caminho egy úgynevezett Loader-as-a-Service (LaaS) modell szerint működik, vagyis más kiberbűnözők számára is elérhetővé teszi a káros programok terjesztését. A legfőbb újdonság, hogy a Caminho a Least Significant Bit (LSB) steganográfiát alkalmazza, ami azt jelenti, hogy a káros kódot képfájlok legkevésbé jelentős biteibe rejti el, így a képek látszólag teljesen normálisak maradnak, de valójában káros programot tartalmaznak.
A támadások során a célszemélyek általában egy e-mailben kapnak egy tömörített mellékletet, amelyben egy JavaScript vagy VBScript fájl található. Ha ez a fájl futtatásra kerül, letölt egy PowerShell szkriptet, amely aztán egy képfájlt tölt le egy legitim felületről, például az archive.org-ról. Ez a képfájl tartalmazza a rejtett káros kódot, amelyet a Caminho Loader képes kinyerni és futtatni. A kódot általában .NET alapú káros programok képezik, amelyek további, különféle káros szoftverek (pl. Remcos RAT, XWorm, Katz Stealer) letöltésére és futtatására képesek.
A Caminho Loader 2025 márciusától aktív, de jelentős fejlődésen ment keresztül 2025 júniusától, amikor bevezették a steganográfiai terjesztési módszert. Ez a technika lehetővé teszi, hogy a káros kódot ne észleljék a hagyományos biztonsági megoldások, mivel a képek látszólag ártalmatlanok. A kampány eredetileg Brazíliában indult, de hamarosan kiterjedt Dél-Amerika, Afrika és Kelet-Európa több országára is, például Dél-Afrikára, Ukrajnára és Lengyelországra. A kódban található portugál nyelvű elemek (pl. változónevek, mint caminho, persitencia, minutos) és a célzott régiók is erősítik a brazil eredet feltételezését.
A Caminho Loader által alkalmazott LaaS modell lehetővé teszi, hogy több kiberbűnöző is használja ugyanazt a terjesztési infrastruktúrát, így nagy számban és gyorsan tudják terjeszteni különböző káros programokat. A támadók általában üzleti témájú csalásokat (pl. árajánlatkérést) használnak a célszemélyek meggyőzésére, és nem kritikus infrastruktúrát vagy magas szintű szervezeteket céloznak, hanem inkább pénzügyi hasznot keresnek.
