La nouvelle mise à jour du logiciel malveillant BLISTER alimente l’infiltration furtive du réseau

05 septembre 2023THNCybermenace/logiciel malveillant

Une version mise à jour d’un chargeur de malware connu sous le nom de BLISTER est utilisée dans le cadre des chaînes d’infection SocGholish pour distribuer un cadre de commande et de contrôle (C2) open source appelé Mythique.

« La nouvelle mise à jour BLISTER inclut une fonctionnalité de saisie qui permet un ciblage précis des réseaux victimes et réduit l’exposition dans les environnements VM/sandbox », Salim Bitam et Daniel Stepanic, chercheurs d’Elastic Security Labs. dit dans un rapport technique publié à la fin du mois dernier.

BLISTER a été découvert pour la première fois par la société en décembre 2021, agissant comme canal pour distribuer les charges utiles Cobalt Strike et BitRAT sur des systèmes compromis.

L’utilisation du malware aux côtés de SocGholish (alias FakeUpdates), un malware de téléchargement basé sur JavaScript, pour diffuser Mythic était divulgué précédemment par Palo Alto Networks Unit 42 en juillet 2023.

Dans ces attaques, BLISTER est intégré dans une bibliothèque légitime de VLC Media Player pour tenter de contourner les logiciels de sécurité et d’infiltrer les environnements des victimes.

SocGholish et BLISTER ont été utilisés en tandem dans le cadre de plusieurs campagnes, ce dernier étant utilisé comme chargeur de deuxième étape pour distribuer les ransomwares Cobalt Strike et LockBit, comme en témoigne Canari rouge et Tendance Micro début 2022.

Une analyse plus approfondie du malware montre qu’il est activement entretenu, les auteurs du malware intégrant une multitude de techniques pour passer inaperçu et compliquer l’analyse.

« BLISTER est un chargeur qui continue de rester inaperçu, étant activement utilisé pour charger une variété de logiciels malveillants, notamment des clipbankers, des voleurs d’informations, des chevaux de Troie, des ransomwares et des shellcodes », a déclaré Elastic. noté en avril 2023.