Este malware y todos sus archivos son ejecutables de 64 bits escritos en GoLang, un lenguaje de programación que facilita mucho la compatibilidad cruzada entre diferentes sistemas operativos, lo que afecta al número potencial de equipos infectados.

Así te infecta ‘Alchimist’

Alchimist C2 tiene una interfaz web escrita en chino simplificado y puede generar una carga útil configurada, establecer sesiones remotas, implementar la carga útil en máquinas remotas, capturar capturas de pantalla, ejecutar shellcode remotamente y ejecutar comandos arbitrarios, explica Cisco en su reporte de esta vulnerabilidad.

El marco admite la creación de mecanismos de infección personalizados para colocar el troyano de acceso remoto (RAT) ‘Insekt’ en los dispositivos y ayuda a los piratas informáticos generando fragmentos de código PowerShell (para Windows) y wget (para Linux) para la implementación del RAT.

La carga útil de Insekt se puede configurar en la interfaz de Alchimist usando varios parámetros como C2 IP/URL, plataforma (Windows o Linux) y protocolo de comunicación (TLS, SNI, WSS/WS). Insekt aún no funciona en macOS, por lo que Alchimist cubre este vacío con un archivo Mach-O, un ejecutable de 64 bits escrito en GoLang que contiene un exploit.

¿El sucesor de Manjusaka?

El descubrimiento de Alchimist y su variada familia de implantes de malware se produce tres meses después de que Talos también detallara otro malware conocido como Manjusaka, que a su vez fue catalogado como el «hermano chino de Sliver y Cobalt Strike».

Tanto Manjusaka como Alchimist tienen funcionalidades similares, a pesar de las diferencias en la implementación en lo que respecta a las interfaces web. Alchimist es otro marco de ataque disponible para los ciberdelincuentes que no tienen el conocimiento o la capacidad para construir todos los componentes necesarios para los ciberataques más sofisticados.

Desafortunadamente, estos malware están listos para usar y son de alta calidad, ricos en características, buenos para evadir la detección de antivirus y soluciones de seguridad y efectivos para colocar implantes en los objetivos. Dicho esto, incluso son beneficiosos para los actores de amenazas más avanzados que desean minimizar sus gastos operativos y combinarse con el tráfico malicioso aleatorio de otros piratas informáticos para evadir la atribución.

Recomendaciones

• Evitar acceder en paginas no confiable 
• Evitar descargar o instalar software de lugares no confiables