Se han encontrado hasta tres campañas dispares pero relacionadas entre marzo y junio de 2022 para entregar una variedad de malware, incluidos ModernLoader, RedLine Stealer y mineros de criptomonedas en sistemas comprometidos.
«Los actores usan PowerShell, ensamblajes .NET y archivos HTA y VBS para propagarse a través de una red objetivo, y finalmente eliminan otras piezas de malware, como el troyano SystemBC y DCRat, para habilitar varias etapas de sus operaciones», dijo el investigador de Cisco Talos, Vanja. Svajcer dijo en un reporte compartido con The Hacker News.
El implante malicioso en cuestión, Cargador modernoestá diseñado para proporcionar a los atacantes control remoto sobre la máquina de la víctima, lo que les permite implementar malware adicional, robar información confidencial o incluso atrapar la computadora en una red de bots.
Cisco Talos atribuyó las infecciones a un actor de amenazas previamente indocumentado pero de habla rusa, citando el uso de herramientas listas para usar. Los objetivos potenciales incluían usuarios de Europa del Este en Bulgaria, Polonia, Hungría y Rusia.
Las cadenas de infección descubiertas por la firma de ciberseguridad involucran intentos de comprometer aplicaciones web vulnerables como WordPress y CPanel para distribuir el malware a través de archivos que se hacen pasar por tarjetas de regalo falsas de Amazon.
La carga útil de la primera etapa es un archivo de aplicación HTML (HTA) que ejecuta un script de PowerShell alojado en el servidor de comando y control (C2) para iniciar la implementación de cargas útiles intermedias que finalmente inyectan el malware mediante una técnica llamada proceso de vaciado.
Descrito como un simple troyano de acceso remoto .NET, ModernLoader (también conocido como bot Avatar) está equipado con funciones para recopilar información del sistema, ejecutar comandos arbitrarios o descargar y ejecutar un archivo desde el servidor C2, lo que permite al adversario alterar los módulos en tiempo real. tiempo.
La investigación de Cisco también descubrió dos campañas anteriores en marzo de 2022 con un modus operandi similar que aprovechan ModerLoader como las principales comunicaciones C2 de malware y sirven malware adicional, incluidos XMRig, RedLine Stealer, SystemBC, DCRat y un ladrón de tokens de Discord, entre otros.
«Estas campañas retratan a un actor que experimenta con diferentes tecnologías», dijo Svajcer. «El uso de herramientas listas para usar muestra que el actor comprende los TTP necesarios para una campaña de malware exitosa, pero sus habilidades técnicas no están lo suficientemente desarrolladas para desarrollar completamente sus propias herramientas».