ModernLoader es un nuevo troyano de acceso remoto detectado por investigadores de Cisco Talos.
Campañas de ModernLoader en la naturaleza
Más específicamente, los investigadores analizaron tres, pero campañas relacionadas en el periodo marzo-junio 2022 que entregó ModernLoader, RedLine y varios mineros de criptomonedas.
En estos ataques, los actores de amenazas usan PowerShell, .RED, y HTA (Aplicación HTML) y archivos VBS, eventualmente implementando malware como SystemBC y DCRAT. La carga útil final de las campañas es dicho troyano de acceso remoto ModernLoader capaz de recopilar información del sistema e implementar numerosos módulos..
“En las campañas anteriores de marzo, también observamos a los atacantes entregando el malware de minería de criptomonedas XMRig. Las campañas de marzo parecían estar dirigidas a usuarios de Europa del Este., ya que la utilidad constructora que analizamos tenía plantillas de script predefinidas escritas en búlgaro, polaco, húngaro y ruso,Cisco Talos explicó.
ModernLoader proporciona acceso remoto a las computadoras seleccionadas, lo que permite más operaciones maliciosas, como lanzar más malware., robar información, y agregar el objetivo a una red de bots. Debido al uso de varias herramientas comerciales, las campañas de ataque se atribuyen a un actor de amenazas previamente desconocido, posiblemente de origen ruso, apuntando a Europa del Este (Bulgaria, Polonia, Hungría, y rusia).
Este actor de amenazas desconocido está comprometiendo instancias web vulnerables de WordPress y CPanel para eliminar el malware ModernLoader a través de tarjetas de regalo falsas de Amazon.. ModernLoader en sí mismo es un simple troyano de acceso remoto .NET que puede recopilar información del sistema, ejecutar comandos arbitrarios, y descargue y ejecute un archivo desde el servidor de comando y control. Gracias a esta capacidad, el actor de amenazas puede cambiar los módulos en tiempo real.
También cabe destacar que el actor de amenazas “tiene interés en canales de distribución alternativos como aplicaciones web comprometidas”., archivar infecciones y propagarse mediante el uso de webhooks de Discord”. A pesar de los enfoques versátiles y las tácticas técnicas, Estimaciones de Cisco Talos que el éxito de las campañas analizadas es limitado.