ModernLoader est un nouveau cheval de Troie d'accès à distance détecté par les chercheurs de Cisco Talos.
Campagnes ModernLoader dans la nature
Plus précisement, les chercheurs ont analysé trois, mais des campagnes connexes dans la période mars-juin 2022 qui a livré ModernLoader, RedLine et plusieurs mineurs de crypto-monnaie.
Dans ces attaques, les pirates utilisent PowerShell, .NET, et ETS (Application HTML) et fichiers VBS, éventuellement déployer des logiciels malveillants tels que SystemBC et DCRAT. La charge utile finale des campagnes est ledit cheval de Troie d'accès à distance ModernLoader capable de récolter des informations système et de déployer de nombreux modules.
"Dans les campagnes précédentes de mars, nous avons également observé les attaquants livrer le malware d'extraction de crypto-monnaie XMRig. Les campagnes de mars semblaient cibler les utilisateurs d'Europe de l'Est, car l'utilitaire constructeur que nous avons analysé avait des modèles de script prédéfinis écrits en bulgare, polonais, hongrois et russe,” Cisco Talos a expliqué.
ModernLoader fournit un accès à distance aux ordinateurs ciblés permettant d'autres opérations malveillantes telles que la suppression de plus de logiciels malveillants, voler des informations, et ajouter la cible à un botnet. En raison de l'utilisation de divers outils prêts à l'emploi, les campagnes d'attaque sont attribuées à un acteur menaçant jusqu'alors inconnu, peut-être d'origine russe, ciblant l'Europe de l'Est (Bulgarie, Pologne, Hongrie, et la Russie).
Cet acteur de menace inconnu compromet les instances Web WordPress et CPanel vulnérables pour supprimer le logiciel malveillant ModernLoader via de fausses cartes-cadeaux Amazon. ModernLoader lui-même est un simple cheval de Troie d'accès à distance .NET qui peut collecter des informations système, exécuter des commandes arbitraires, et télécharger et exécuter un fichier à partir du serveur de commande et de contrôle. Merci à cette capacité, l'auteur de la menace peut changer les modules en temps réel.
Il convient également de noter que l'auteur de la menace "a un intérêt dans les canaux de distribution alternatifs tels que les applications Web compromises, archiver les infections et les propager en utilisant les webhooks Discord. Malgré les approches polyvalentes et les tactiques techniques, Estimations Cisco Talos que le succès des campagnes analysées est limité.