Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós MonsterV2

Programari maliciós MonsterV2

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Investigadors de ciberseguretat han descobert recentment un actor d'amenaces prèviament indocumentat, rastrejat com a TA585, que ha estat executant sofisticades campanyes de phishing i injecció web per distribuir una família de programari maliciós estàndard coneguda com a MonsterV2.

TA585: un operador que controla tota la cadena de morts

El TA585 destaca perquè sembla controlar tota la seva cadena d'atac de principi a fi. En lloc de comprar la distribució, llogar l'accés a brokers d'accés inicial o confiar en serveis de trànsit de tercers, el TA585 gestiona la seva pròpia infraestructura, mecàniques de lliurament i eines d'instal·lació. Els analistes descriuen el clúster com a sofisticat: l'actor utilitza injeccions web, filtratge i comprovacions d'entorn, i múltiples tècniques de lliurament per maximitzar l'èxit i evitar l'anàlisi.

Phishing, ClickFix i esquers amb temàtica de l'IRS: el manual d'enginyeria social
Les primeres campanyes es basaven en esquers clàssics de phishing relacionats amb l'Internal Revenue Service (IRS) dels Estats Units. Els objectius rebien missatges que apuntaven a URL falses, que obrien un PDF; aquest PDF contenia un enllaç a una pàgina web que utilitzava la tàctica d'enginyeria social ClickFix. ClickFix enganya una víctima perquè executi una ordre a través del quadre de diàleg Executa de Windows o un terminal de PowerShell, que després executa un script de PowerShell posterior per extreure i implementar MonsterV2.

Injeccions web i superposicions falses de CAPTCHA

En onades posteriors observades a l'abril de 2025, TA585 va passar a comprometre llocs web legítims mitjançant injeccions malicioses de JavaScript. Aquestes injeccions van produir superposicions de verificació CAPTCHA falses que van activar de nou el flux ClickFix i finalment van llançar una ordre de PowerShell per descarregar i iniciar el programari maliciós. La injecció de JavaScript i la infraestructura relacionada (en particular intlspring.com) també s'han relacionat amb la distribució d'altres lladres de programari maliciós, inclòs Rhadamanthys Stealer.

Abús de GitHub i avisos de seguretat falsos

Un tercer conjunt de campanyes de TA585 va abusar dels mecanismes de notificació de GitHub: l'actor va etiquetar els usuaris de GitHub en avisos de "seguretat" fraudulents que contenien URL que dirigien les víctimes a llocs controlats per l'actor. Aquestes alertes falses de GitHub van ser un altre vector utilitzat per conduir les víctimes a la mateixa cadena ClickFix/PowerShell.

Marc CoreSecThree: la columna vertebral del lliurament

Els clústers d'activitat web-inject i fake-GitHub s'han associat amb CoreSecThree, un marc de treball que els investigadors qualifiquen de "sofisticat" i que s'utilitza des del febrer del 2022. CoreSecThree s'ha utilitzat constantment per propagar programari maliciós lladre a través de múltiples campanyes.

MonsterV2 — Orígens i variants

MonsterV2 és una amenaça multiusos: un troià d'accés remot (RAT), lladre i carregador. Els investigadors el van veure per primera vegada anunciant-se en fòrums criminals el febrer de 2025. També es fa referència a "Aurotun Stealer" (una errada ortogràfica d'"autorun") i anteriorment s'havia distribuït a través de CastleLoader (també conegut com a CastleBot). Les primeres iteracions de l'activitat de TA585 van distribuir Lumma Stealer abans d'un canvi a MonsterV2 a principis de 2025.

Model comercial i geofencing

MonsterV2 el ven un operador de parla russa. Els preus observats en mercats criminals són: l'edició Standard a 800 USD al mes i l'edició Enterprise a 2.000 USD al mes. El nivell Enterprise inclou stealer + loader, Hidden VNC (HVNC) i compatibilitat amb Chrome DevTools Protocol (CDP). El component stealer està configurat per evitar infectar els països de la Comunitat d'Estats Independents (CEI).

Empaquetament, antianàlisi i comportament en temps d’execució

MonsterV2 normalment inclou un xifratge C++ anomenat SonicCrypt. SonicCrypt proporciona comprovacions antianàlisi per capes abans de desxifrar i carregar la càrrega útil, cosa que permet evadir la detecció. En temps d'execució, la càrrega útil es desxifra, resol les funcions de l'API de Windows que requereix i intenta l'elevació de privilegis. A continuació, descodifica una configuració integrada que li indica com contactar amb el seu Command-and-Control (C2) i quines accions ha de dur a terme.

Els indicadors de configuració que fa servir MonsterV2 inclouen:

  • anti_dbg: quan és True, el programari maliciós intenta detectar i evadir els depuradors.
  • anti_sandbox: quan és True, el programari maliciós intenta la detecció de la zona de proves i utilitza tècniques anti-sandbox rudimentàries.
  • aurotun: quan és True, el programari maliciós intenta establir la persistència (l'error ortogràfic és l'origen del nom «Aurotun»).
  • priviledge_escalation: quan és True, el programari maliciós intenta elevar privilegis a l'amfitrió.

Xarxes i comportament C2

Si MonsterV2 arriba correctament al seu C2, primer envia telemetria bàsica del sistema i geolocalització consultant un servei públic (els investigadors van observar sol·licituds a api.ipify.org). La resposta C2 conté les ordres a executar. En algunes operacions observades, les càrregues útils descartades per MonsterV2 es van configurar per utilitzar el mateix servidor C2 que altres càrregues útils (per exemple, StealC), tot i que aquestes altres campanyes no es van atribuir directament a TA585.

Les capacitats documentades de MonsterV2 són:

  • Robar dades sensibles i exfiltrar-les al servidor.
  • Executa ordres arbitràries mitjançant cmd.exe o PowerShell.
  • Finalitzar, suspendre o reprendre processos.
  • Establir connexions HVNC amb l'amfitrió infectat.
  • Captura captures de pantalla de l'escriptori.
  • Executa un keylogger.
  • Enumerar, manipular, copiar i exfiltrar fitxers.
  • Apagar o fer fallar el sistema.
  • Baixeu i executeu les càrregues útils de la següent etapa (exemples observats: StealC i Remcos RAT).

Guia de mitigació i detecció

Els defensors haurien de tractar el TA585 com un operador capaç i integrat verticalment que combina enginyeria social, compromís de llocs web i tècniques antianàlisi per capes. Les oportunitats de detecció inclouen: monitorització d'activitats sospitoses de diàleg PowerShell/Run que s'originin a partir de fluxos basats en web, identificació d'injeccions anòmales de JavaScript en llocs legítims, bloqueig de binaris coneguts empaquetats amb SonicCrypt mitjançant deteccions de comportament i marcatge de connexions HVNC/control remot inesperades i patrons d'exfiltració de fitxers. La monitorització de les comunicacions amb hosts C2 inusuals i les consultes a serveis públics de descobriment d'IP (per exemple, api.ipify.org) juntament amb transferències de dades de sortida també pot descobrir infeccions.

Resum

El TA585 representa un actor d'amenaces resilient que manté el control sobre la distribució, el lliurament i el funcionament de la càrrega útil. Combinant el phishing, la injecció de JavaScript a nivell de lloc, les superposicions de CAPTCHA falses i la càrrega útil comercial de MonsterV2 (inclosa amb SonicCrypt), l'actor ha construït una capacitat multivectorial fiable per al robatori de dades i el control remot. Donada la maduresa operativa de l'actor i el conjunt de funcions modulars de MonsterV2, les organitzacions haurien de prioritzar la detecció d'inicis d'ordres basats en web, cadenes de descàrrega i execució de PowerShell, binaris inclosos en SonicCrypt i activitat sospitosa d'HVNC o exfiltració.

Tendència

Més vist

Carregant...