Cisco Talos: RAT-троян ModernLoader используется для заражения систем стилерами и криптомайнерами

Cisco Talos: RAT-троян ModernLoader используется для заражения систем стилерами и криптомайнерами

За вредоносными кампаниями стоит предположительно российский хакер.

Согласно новому отчету Cisco Talos, в период с марта по июнь 2022 года было проведено 3 отдельных, но связанных друг с другом кампании, в ходе которых на скомпрометированные системы были доставлены различные вредоносные программы, в том числе ModernLoader, RedLine Stealer и криптомайнеры.

Хакеры использовали PowerShell, сборки .NET, а также файлы HTA и VBS для распространения по целевой сети, в конечном итоге доставляя трояны SystemBC и DCRat , чтобы осуществить различные этапы своих операций.

Рассматриваемый вредоносный имплант ModernLoader предназначен для удаленного контроля над компьютером жертвы, что позволяет злоумышленнику развертывать дополнительные вредоносные программы, красть конфиденциальную информацию или даже внедрить компьютер в ботнет.

Cisco Talos приписала заражение ранее не зарегистрированному русскоязычному субъекту угрозы, сославшись на использование готовых инструментов. Потенциальные цели включали пользователей из Болгарии, Польши, Венгрии и России.

Цепочки заражения включают попытки взлома уязвимых веб-приложений WordPress и CPanel для распространения вредоносного ПО с помощью файлов, которые маскируются под поддельные подарочные карты Amazon.


Цепочка заражения ModernLoader

Полезная нагрузка первого этапа представляет собой HTA-файл (HTML Application), который запускает сценарий PowerShell, размещенный на сервере управления и контроля (C&С), чтобы инициировать развертывание промежуточных полезных нагрузок. Эти нагрузки затем внедряют вредоносное ПО с помощью метода подмены процессов ( выдалбливания процессов , Process Hollowing).

RAT-троян ModernLoader (также известный как Avatar Bot) оснащен функциями для:

  • сбора системной информации;
  • выполнения произвольных команд;
  • загрузки и запуска файла с C&C-сервера.

Эти функции позволяют злоумышленнику изменять модули в реальном времени.

Хакер экспериментирует с различными технологиями. Использование готовых инструментов показывает, что киберпреступник понимает все тактики, техники и процедуры (tactics, techniques, and procedures, TTP), необходимые для проведения вредоносной кампании, но его технические навыки недостаточно развиты для полноценной разработки собственных инструментов.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!