ModernLoader is een nieuwe trojan voor externe toegang die is gedetecteerd door Cisco Talos-onderzoekers.
ModernLoader-campagnes in het wild
Specifieker, de onderzoekers analyseerden drie afzonderlijke, maar gerelateerde campagnes in de periode maart-juni 2022 dat leverde ModernLoader, RedLine en verschillende cryptocurrency-mijnwerkers.
In deze aanvallen, de dreigingsactoren gebruiken PowerShell, .NETTO, en HTA (HTML-toepassing) en VBS-bestanden, uiteindelijk implementeren van malware zoals SystemBC en DCRAT. De uiteindelijke lading van de campagnes is de genoemde ModernLoader-trojan voor externe toegang die systeeminformatie kan verzamelen en talloze modules kan implementeren.
“In de eerdere campagnes van maart, we zagen ook dat de aanvallers de cryptocurrency mining-malware XMRig . afleverden. De campagnes van maart leken gericht te zijn op Oost-Europese gebruikers, omdat het constructorhulpprogramma dat we analyseerden vooraf gedefinieerde scriptsjablonen had die in het Bulgaars waren geschreven, Pools, Hongaars en Russisch,"Cisco Talos uitgelegd.
ModernLoader biedt externe toegang tot gerichte computers, waardoor verdere kwaadaardige bewerkingen mogelijk worden, zoals het verwijderen van meer malware, informatie stelen, en het doel toevoegen aan een botnet. Door het gebruik van verschillende kant-en-klare tools, de aanvalscampagnes worden toegeschreven aan een voorheen onbekende dreigingsactor, mogelijk van Russische afkomst, gericht op Oost-Europa (Bulgarije, Polen, Hongarije, en Rusland).
Deze onbekende bedreigingsacteur compromitteert kwetsbare web-WordPress- en CPanel-instanties om de ModernLoader-malware te laten vallen via valse Amazon-cadeaubonnen. ModernLoader zelf is een eenvoudige .NET-trojan voor externe toegang die systeeminformatie kan verzamelen, kwaadwillige opdrachten uitvoert, en download en voer een bestand uit vanaf de command-and-control-server. Dankzij deze mogelijkheid, de dreigingsactor kan de modules in realtime wijzigen.
Het is ook opmerkelijk dat de dreigingsactor "belang heeft in alternatieve distributiekanalen zoals gecompromitteerde webapplicaties", archiveren van infecties en verspreiding met behulp van Discord-webhooks.” Ondanks de veelzijdige benaderingen en technische tactieken, Cisco Talos schattingen dat het succes van de geanalyseerde campagnes beperkt is.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: