Voleurs, Cryptomineurs Et Rat

Jusqu’à trois campagnes disparates mais liées entre mars et juin 2022 se sont avérées livrer une variété de logiciels malveillants, y compris ModernLoader, RedLine Stealer et des mineurs de crypto-monnaie sur des systèmes compromis.

« Les acteurs utilisent PowerShell, les assemblages .NET et les fichiers HTA et VBS pour se propager sur un réseau ciblé, laissant éventuellement tomber d’autres logiciels malveillants, tels que le cheval de Troie SystemBC et DCRat, pour permettre différentes étapes de leurs opérations », a déclaré Vanja, chercheur chez Cisco Talos. Svajcer a déclaré dans un rapport partagé avec The Hacker News.

La Cyber-Sécurité

L’implant malveillant en question, ModernLoaderest conçu pour fournir aux attaquants un contrôle à distance sur la machine de la victime, ce qui permet aux adversaires de déployer des logiciels malveillants supplémentaires, de voler des informations sensibles ou même de piéger l’ordinateur dans un botnet.

Cisco Talos a attribué les infections à un acteur menaçant auparavant sans papiers mais russophone, citant l’utilisation d’outils prêts à l’emploi. Les cibles potentielles comprenaient les utilisateurs d’Europe de l’Est en Bulgarie, en Pologne, en Hongrie et en Russie.

Les chaînes d’infection découvertes par la société de cybersécurité impliquent des tentatives de compromission d’applications Web vulnérables telles que WordPress et CPanel pour distribuer le logiciel malveillant au moyen de fichiers qui se font passer pour de fausses cartes-cadeaux Amazon.

Publicité
Voleurs, Cryptomineurs Et Rat

La charge utile de la première étape est un fichier d’application HTML (HTA) qui exécute un script PowerShell hébergé sur le serveur de commande et de contrôle (C2) pour lancer le déploiement de charges utiles intermédiaires qui injectent finalement le logiciel malveillant à l’aide d’une technique appelée processus d’évidement.

Décrit comme un simple cheval de Troie d’accès à distance .NET, ModernLoader (alias Avatar bot) est équipé de fonctionnalités permettant de collecter des informations système, d’exécuter des commandes arbitraires ou de télécharger et d’exécuter un fichier à partir du serveur C2, permettant à l’adversaire de modifier les modules en temps réel. temps.

La Cyber-Sécurité

L’enquête de Cisco a également mis au jour deux campagnes antérieures en mars 2022 avec un mode opératoire similaire qui exploite ModerLoader comme principal système de communication C2 des logiciels malveillants et sert des logiciels malveillants supplémentaires, notamment XMRig, RedLine Stealer, SystemBC, DCRat et un voleur de jetons Discord, entre autres.

« Ces campagnes dépeignent un acteur expérimentant différentes technologies », a déclaré Svajcer. « L’utilisation d’outils prêts à l’emploi montre que l’acteur comprend les TTP requis pour une campagne de logiciels malveillants réussie, mais ses compétences techniques ne sont pas suffisamment développées pour développer pleinement ses propres outils. »


Rate this post
Publicité
Article précédentLa FTC poursuit un courtier en données pour avoir vendu les données de localisation sensibles des personnes, y compris les visites au centre d’avortement
Article suivantSteelSeries Arctis Nova Pro Wireless Review – Le roi des casques de jeu
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici