ModernLoader é um novo trojan de acesso remoto detectado por pesquisadores do Cisco Talos.
Campanhas do ModernLoader na natureza
Mais especificamente, os pesquisadores analisaram três, mas campanhas relacionadas no período de março a junho 2022 que entregou o ModernLoader, RedLine e vários mineradores de criptomoedas.
Nestes ataques, os agentes de ameaças usam o PowerShell, .INTERNET, e HTA (Aplicativo HTML) e arquivos VBS, eventualmente implantando malware como SystemBC e DCRAT. A carga útil final das campanhas é o referido trojan de acesso remoto ModernLoader capaz de coletar informações do sistema e implantar vários módulos.
“Nas campanhas anteriores de março, também observamos os invasores entregando o malware de mineração de criptomoeda XMRig. As campanhas de março pareciam segmentar usuários do Leste Europeu, como o utilitário construtor que analisamos tinha modelos de script predefinidos escritos em búlgaro, polonês, húngaro e russo,” Cisco Talos explicou.
ModernLoader fornece acesso remoto a computadores direcionados, permitindo operações maliciosas adicionais, como soltar mais malware, roubando informações, e adicionando o destino a um botnet. Devido ao uso de várias ferramentas de prateleira, as campanhas de ataque são atribuídas a um ator de ameaça anteriormente desconhecido, possivelmente de origem russa, visando a Europa Oriental (Bulgária, Polônia, Hungria, e Rússia).
Esse agente de ameaça desconhecido está comprometendo instâncias vulneráveis do WordPress e CPanel da Web para eliminar o malware ModernLoader por meio de cartões-presente falsos da Amazon. O próprio ModernLoader é um simples trojan de acesso remoto .NET que pode coletar informações do sistema, executar comandos arbitrários, e baixe e execute um arquivo do servidor de comando e controle. Graças a esta capacidade, o ator da ameaça pode alterar os módulos em tempo real.
Também é digno de nota que o ator da ameaça “tem interesse em canais de distribuição alternativos, como aplicativos da web comprometidos, arquivar infecções e se espalhar usando os webhooks do Discord.” Apesar das abordagens versáteis e táticas técnicas, Estimativas do Cisco Talos que o sucesso das campanhas analisadas é limitado.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: