ModernLoader, RedLine Stealer y Criptomining entre las campañas de distribución de malware

Entre marzo – junio 2022 se ha descubierto tres campañas de programas maliciosos similares que infectan sistemas informáticos con los malwares ModernLoader, RedLine Stealer y mineros de criptomonedas.

ModernLoader es un troyano de acceso remoto .NET que admite muchas funciones, incluida la capacidad de recopilar información del sistema, ejecutar comandos arbitrarios o descargar y ejecutar archivos desde un servidor C2.

Los atacantes usan archivos PowerShell, .NET, HTA y VBS para abrirse camino a través de la red de destino y, finalmente, instalar otro malware, como SystemBC Trojan y DCRAT. El hecho de que los atacantes utilicen muchas herramientas estándar diferentes dificulta este proceso para hacer responsable a un adversario en particular.

La secuencia de ataque comienza con un archivo de aplicación HTML (HTA) que ejecuta un script de PowerShell alojado en un servidor C2 que realiza la siguiente etapa de la carga.

El cargador de PowerShell es la siguiente etapa, que contiene el código de incrustación de los tres módulos, que se cargan a través de la reflexión como ensamblajes .NET adicionales en el espacio de proceso de PowerShell. El código de PowerShell descargado también descarga y ejecuta cargas útiles y módulos auxiliares. De acuerdo al análisis realizado por Cisco Talos. Por lo general, hay tres módulos en este formato de carga: el primero desactiva la verificación de AMSI, el segundo la carga útil final y el último coloca la carga útil en el espacio de proceso de un proceso recién creado, generalmente es el proceso RegSvcs.exe.

La carga útil final parece ser un troyano ModernLoader Remote Access (ModernLoader RAT) y un exploit XMRig. Talos informó que las campañas de marzo se dirigieron a usuarios de Europa del Este, incluidos Bulgaria, Polonia, Hungría y Rusia.

Los atacantes intentaron piratear las instalaciones de WordPress y CPanel para distribuir malware utilizando archivos disfrazados de tarjetas de regalo falsas de Amazon. El actor suele utilizar componentes de código abierto y generadores de código para lograr sus objetivos. Durante las campañas se utilizan diversas herramientas de acceso remoto, ladrones y mineros para obtener beneficios económicos para los participantes. El proxy se encarga de los canales de distribución alternativos, como las aplicaciones web pirateadas, los archivos infectados y la propagación mediante el uso de enlaces web de Discord. A pesar de todas las técnicas y tácticas utilizadas, se cree que el éxito de estas campañas es limitado.

Indicadores de Compromiso (IoC)

Estas IP’s han estado siendo utilizadas como servidor C2 en diferentes campañas.
31[.]41[.]244[.]231
31[.]41[.]244[.]235
62[.]204[.]41[.]71
62[.]204[.]41[.]192

Como boletín informativo, mas detalle de los procesos ejecutados por los servidores C2 de las IP’s detalladas, se pueden encontrar en el siguiente enlace.

Para mayor información