ModernLoader er en ny fjernadgang trojan opdaget af Cisco Talos forskere.
ModernLoader-kampagner i naturen
Mere specifikt, forskerne analyserede tre separate, men relaterede kampagner i perioden marts-juni 2022 der leverede ModernLoader, RedLine og flere cryptocurrency minearbejdere.
I disse angreb, trusselsaktørerne bruger PowerShell, .NET, og MTV (HTML-applikation) og VBS-filer, til sidst at implementere malware såsom SystemBC og DCRAT. Den sidste nyttelast af kampagnerne er den nævnte ModernLoader fjernadgangstrojan, der er i stand til at høste systeminformation og implementere adskillige moduler.
“I de tidligere kampagner fra marts, vi observerede også, at angriberne leverede cryptocurrency-mining-malwaren XMRig. Kampagnerne i marts så ud til at være målrettet mod østeuropæiske brugere, da det konstruktørværktøj, vi analyserede, havde foruddefinerede scriptskabeloner skrevet på bulgarsk, Polere, ungarsk og russisk,” forklarede Cisco Talos.
ModernLoader giver fjernadgang til målrettede computere, hvilket muliggør yderligere ondsindede operationer, såsom at droppe mere malware, stjæle information, og tilføjer målet til et botnet. På grund af brugen af forskellige hyldeværktøjer, angrebskampagnerne tilskrives en hidtil ukendt trusselsaktør, muligvis af russisk oprindelse, rettet mod Østeuropa (Bulgarien, Polen, Ungarn, og Rusland).
Denne ukendte trusselsaktør kompromitterer sårbare WordPress- og CPanel-webforekomster for at droppe ModernLoader-malwaren via falske Amazon-gavekort. ModernLoader i sig selv er en simpel .NET-trojaner med fjernadgang, der kan indsamle systemoplysninger, udføre vilkårlige kommandoer, og download og kør en fil fra kommando-og-kontrol-serveren. Takket være denne evne, trusselsaktøren kan ændre modulerne i realtid.
Det er også bemærkelsesværdigt, at trusselsaktøren "har en interesse i alternative distributionskanaler såsom kompromitterede webapplikationer, arkivere infektioner og spredning ved at bruge Discord webhooks." På trods af de alsidige tilgange og tekniske taktikker, Cisco Talos skøn at de analyserede kampagners succes er begrænset.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: