ModernLoader ist ein neuer Fernzugriffstrojaner, der von Cisco Talos-Forschern entdeckt wurde.
ModernLoader-Kampagnen in freier Wildbahn
Genauer, Die Forscher analysierten drei separate, aber verwandte Kampagnen im Zeitraum März-Juni 2022 die ModernLoader geliefert hat, RedLine und mehrere Kryptowährungs-Miner.
Bei diesen Angriffen, Die Bedrohungsakteure verwenden PowerShell, .NETZ, und HTA (HTML-Anwendung) und VBS-Dateien, schließlich Bereitstellung von Malware wie SystemBC und DCRAT. Die letzte Nutzlast der Kampagnen ist der Fernzugriffstrojaner ModernLoader, der Systeminformationen sammeln und zahlreiche Module einsetzen kann.
„In den früheren Kampagnen ab März, Wir haben auch beobachtet, wie die Angreifer die Cryptocurrency-Mining-Malware XMRig auslieferten. Die März-Kampagnen schienen auf osteuropäische Nutzer abzuzielen, da das von uns analysierte Konstruktor-Dienstprogramm vordefinierte Skriptvorlagen hatte, die auf Bulgarisch geschrieben waren, Polieren, Ungarisch und Russisch,“ erklärte Cisco Talos.
ModernLoader bietet Fernzugriff auf Zielcomputer und ermöglicht weitere böswillige Operationen wie das Ablegen weiterer Malware, Informationen stehlen, und Hinzufügen des Ziels zu einem Botnetz. Durch den Einsatz verschiedener handelsüblicher Tools, Die Angriffskampagnen werden einem bisher unbekannten Bedrohungsakteur zugeschrieben, möglicherweise russischen Ursprungs, Ausrichtung auf Osteuropa (Bulgarien, Polen, Ungarn, und Russland).
Dieser unbekannte Bedrohungsakteur kompromittiert anfällige Web-WordPress- und CPanel-Instanzen, um die ModernLoader-Malware über gefälschte Amazon-Geschenkkarten abzulegen. ModernLoader selbst ist ein einfacher .NET-Fernzugriffstrojaner, der Systeminformationen sammeln kann, Ausführen beliebiger Befehle, und laden Sie eine Datei vom Command-and-Control-Server herunter und führen Sie sie aus. Dank dieser Fähigkeit, Der Bedrohungsakteur kann die Module in Echtzeit ändern.
Bemerkenswert ist auch, dass der Bedrohungsakteur „ein Interesse an alternativen Verbreitungskanälen wie kompromittierten Webanwendungen hat, Archivinfektionen und Verbreitung mithilfe von Discord-Webhooks.“ Trotz der vielseitigen Ansätze und technischen Taktiken, Schätzungen von Cisco Talos dass der Erfolg der analysierten Kampagnen begrenzt ist.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: