ModernLoader es un nuevo troyano de acceso remoto detectado por investigadores de Cisco Talos.
Campañas de ModernLoader en la naturaleza
Más específicamente, los investigadores analizaron tres, pero campañas relacionadas en el periodo marzo-junio 2022 que entregó ModernLoader, RedLine y varios mineros de criptomonedas.
En estos ataques, los actores de amenazas usan PowerShell, .RED, y HTA (Aplicación HTML) y archivos VBS, eventualmente implementando malware como SystemBC y DCRAT. La carga útil final de las campañas es dicho troyano de acceso remoto ModernLoader capaz de recopilar información del sistema e implementar numerosos módulos..
“En las campañas anteriores de marzo, también observamos a los atacantes entregando el malware de minería de criptomonedas XMRig. Las campañas de marzo parecían estar dirigidas a usuarios de Europa del Este., ya que la utilidad constructora que analizamos tenía plantillas de script predefinidas escritas en búlgaro, polaco, húngaro y ruso,Cisco Talos explicó.
ModernLoader proporciona acceso remoto a las computadoras seleccionadas, lo que permite más operaciones maliciosas, como lanzar más malware., robar información, y agregar el objetivo a una red de bots. Debido al uso de varias herramientas comerciales, las campañas de ataque se atribuyen a un actor de amenazas previamente desconocido, posiblemente de origen ruso, apuntando a Europa del Este (Bulgaria, Polonia, Hungría, y rusia).
Este actor de amenazas desconocido está comprometiendo instancias web vulnerables de WordPress y CPanel para eliminar el malware ModernLoader a través de tarjetas de regalo falsas de Amazon.. ModernLoader en sí mismo es un simple troyano de acceso remoto .NET que puede recopilar información del sistema, ejecutar comandos arbitrarios, y descargue y ejecute un archivo desde el servidor de comando y control. Gracias a esta capacidad, el actor de amenazas puede cambiar los módulos en tiempo real.
También cabe destacar que el actor de amenazas “tiene interés en canales de distribución alternativos como aplicaciones web comprometidas”., archivar infecciones y propagarse mediante el uso de webhooks de Discord”. A pesar de los enfoques versátiles y las tácticas técnicas, Estimaciones de Cisco Talos que el éxito de las campañas analizadas es limitado.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: