ModernLoader è un nuovo trojan di accesso remoto rilevato dai ricercatori di Cisco Talos.
Campagne ModernLoader in natura
Più specificamente, i ricercatori ne hanno analizzati tre separati, ma relative campagne nel periodo marzo-giugno 2022 che ha consegnato ModernLoader, RedLine e diversi minatori di criptovalute.
In questi attacchi, gli attori delle minacce usano PowerShell, .NETTO, e HTA (Applicazione HTML) e file VBS, alla fine distribuendo malware come SystemBC e DCRAT. Il payload finale delle campagne è il suddetto trojan di accesso remoto ModernLoader in grado di raccogliere informazioni di sistema e distribuire numerosi moduli.
“Nelle prime campagne di marzo, abbiamo anche osservato gli aggressori che distribuivano il malware di mining di criptovaluta XMRig. Le campagne di marzo sembravano prendere di mira gli utenti dell'Europa orientale, poiché l'utilità di costruzione che abbiamo analizzato aveva modelli di script predefiniti scritti in bulgaro, polacco, ungherese e russo,” ha spiegato Cisco Talos.
ModernLoader fornisce l'accesso remoto ai computer mirati consentendo ulteriori operazioni dannose come l'eliminazione di più malware, rubare informazioni, e aggiungendo il target a una botnet. A causa dell'uso di vari strumenti standard, le campagne di attacco sono attribuite a un attore di minacce precedentemente sconosciuto, possibilmente di origine russa, mirato all'Europa dell'Est (Bulgaria, Polonia, Ungheria, e la Russia).
Questo attore di minacce sconosciuto sta compromettendo le istanze Web vulnerabili di WordPress e CPanel per eliminare il malware ModernLoader tramite false carte regalo Amazon. ModernLoader stesso è un semplice trojan di accesso remoto .NET in grado di raccogliere informazioni di sistema, eseguire comandi arbitrari, e scaricare ed eseguire un file dal server di comando e controllo. Grazie a questa capacità, l'attore della minaccia può modificare i moduli in tempo reale.
È anche degno di nota il fatto che l'attore delle minacce “ha interesse per i canali di distribuzione alternativi come le applicazioni web compromesse, archiviare infezioni e diffondersi utilizzando i webhook Discord. Nonostante gli approcci versatili e le tattiche tecniche, Stime di Cisco Talos che il successo delle campagne analizzate è limitato.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: