Preventivo sconto multi-licenza
Database delle minacce Malware Malware MonsterV2

Malware MonsterV2

Entro Mezo nel Malware, Minaccia persistente avanzata (APT)
Traduci in:

I ricercatori di sicurezza informatica hanno recentemente scoperto un autore di minacce precedentemente non documentato, identificato come TA585, che ha condotto sofisticate campagne di phishing e web injection per diffondere una famiglia di malware standard nota come MonsterV2.

TA585 — Un operatore che possiede l’intera kill chain

TA585 si distingue perché sembra controllare l'intera catena di attacco end-to-end. Anziché acquistare la distribuzione, affittare l'accesso da broker di accesso iniziale o affidarsi a servizi di traffico di terze parti, TA585 gestisce autonomamente la propria infrastruttura, le proprie meccaniche di distribuzione e gli strumenti di installazione. Gli analisti descrivono il cluster come sofisticato: l'attore utilizza web injection, filtri e controlli ambientali, nonché molteplici tecniche di distribuzione per massimizzare il successo ed evitare l'analisi.

Phishing, ClickFix e esche a tema IRS: il manuale di ingegneria sociale
Le prime campagne si basavano su esche classiche del phishing incentrate sull'Internal Revenue Service (IRS) degli Stati Uniti. I bersagli ricevevano messaggi che rimandavano a URL falsi, che aprivano un PDF; quel PDF conteneva un link a una pagina web che utilizzava la tattica di social engineering ClickFix. ClickFix induceva la vittima a eseguire un comando tramite la finestra di dialogo Esegui di Windows o un terminale PowerShell, che a sua volta eseguiva uno script PowerShell successivo per estrarre e distribuire MonsterV2.

Iniezioni Web e sovrapposizioni CAPTCHA false

Nelle ondate successive osservate nell'aprile 2025, TA585 ha iniziato a compromettere siti web legittimi tramite iniezioni di JavaScript dannose. Tali iniezioni hanno prodotto falsi overlay di verifica CAPTCHA che hanno nuovamente attivato il flusso ClickFix e infine lanciato un comando PowerShell per scaricare e avviare il malware. L'iniezione di JavaScript e l'infrastruttura correlata (in particolare intlspring.com) sono state anche collegate alla distribuzione di altri stealer, tra cui Rhadamanthys Stealer.

Abuso di GitHub e avvisi di sicurezza fasulli

Una terza serie di campagne TA585 ha abusato dei meccanismi di notifica di GitHub: l'autore ha taggato gli utenti di GitHub in avvisi di "sicurezza" fraudolenti che contenevano URL che indirizzavano le vittime a siti controllati dall'autore. Questi falsi avvisi di GitHub erano un altro vettore utilizzato per indirizzare le vittime nella stessa catena ClickFix/PowerShell.

Framework CoreSecThree: la spina dorsale della distribuzione

I cluster di attività web-inject e fake-GitHub sono stati associati a CoreSecThree, un framework definito dai ricercatori "sofisticato" e in uso da febbraio 2022. CoreSecThree è stato utilizzato in modo coerente per propagare malware stealer in più campagne.

MonsterV2 — Origini e varianti

MonsterV2 è una minaccia multifunzionale: un trojan di accesso remoto (RAT), uno stealer e un loader. I ricercatori l'hanno visto pubblicizzato per la prima volta sui forum criminali nel febbraio 2025. È anche noto come "Aurotun Stealer" (un errore di ortografia di "autorun") ed è stato precedentemente distribuito tramite CastleLoader (noto anche come CastleBot). Le precedenti iterazioni dell'attività TA585 hanno distribuito Lumma Stealer prima di un passaggio a MonsterV2 all'inizio del 2025.

Modello commerciale e geofencing

MonsterV2 è venduto da un operatore di lingua russa. I prezzi osservati sui marketplace criminali sono: l'edizione Standard a 800 USD al mese e l'edizione Enterprise a 2.000 USD al mese. Il livello Enterprise include stealer + loader, Hidden VNC (HVNC) e supporto per Chrome DevTools Protocol (CDP). Il componente stealer è configurato per evitare di infettare i paesi della Comunità degli Stati Indipendenti (CSI).

Comportamento di imballaggio, anti-analisi e runtime

MonsterV2 è in genere dotato di un crittografo C++ denominato SonicCrypt. SonicCrypt esegue controlli anti-analisi a più livelli prima di decifrare e caricare il payload, consentendo di eludere il rilevamento. In fase di esecuzione, il payload decifra, risolve le funzioni API di Windows richieste e tenta di elevare i privilegi. Quindi decodifica una configurazione incorporata che gli indica come contattare il suo Comando e Controllo (C2) e quali azioni intraprendere.

I flag di configurazione utilizzati da MonsterV2 includono:

  • anti_dbg — se impostato su True, il malware tenta di rilevare ed eludere i debugger.
  • anti_sandbox: se impostato su True, il malware tenta il rilevamento sandbox e utilizza tecniche anti-sandbox rudimentali.
  • aurotun — se True, il malware tenta di stabilire la persistenza (l'errore di ortografia è all'origine del nome "Aurotun").
  • priviledge_escalation: se impostato su True, il malware tenta di elevare i privilegi sull'host.

Networking e comportamento C2

Se MonsterV2 raggiunge con successo il suo C2, invia innanzitutto dati di telemetria di sistema di base e geolocalizzazione interrogando un servizio pubblico (i ricercatori hanno osservato richieste ad api.ipify.org). La risposta del C2 contiene i comandi da eseguire. In alcune operazioni osservate, i payload rilasciati da MonsterV2 erano configurati per utilizzare lo stesso server C2 di altri payload (ad esempio, StealC), sebbene queste altre campagne non fossero direttamente attribuite a TA585.

Le capacità documentate di MonsterV2 sono:

  • Rubare dati sensibili ed esfiltrarli sul server.
  • Eseguire comandi arbitrari tramite cmd.exe o PowerShell.
  • Terminare, sospendere o riprendere i processi.
  • Stabilire connessioni HVNC con l'host infetto.
  • Cattura schermate del desktop.
  • Esegui un keylogger.
  • Enumerare, manipolare, copiare ed esfiltrare file.
  • Arrestare o bloccare il sistema.
  • Scarica ed esegui i payload della fase successiva (esempi osservati: StealC e Remcos RAT).

Guida alla mitigazione e al rilevamento

I difensori dovrebbero considerare TA585 come un operatore capace e verticalmente integrato che combina tecniche di ingegneria sociale, compromissione del sito e anti-analisi a più livelli. Le opportunità di rilevamento includono: monitoraggio di attività sospette di dialogo PowerShell/Esegui provenienti da flussi basati sul web, identificazione di iniezioni JavaScript anomale su siti legittimi, blocco di binari noti contenenti SonicCrypt tramite rilevamenti comportamentali e segnalazione di connessioni HVNC/controllo remoto inattese e modelli di esfiltrazione di file. Anche il monitoraggio delle comunicazioni verso host C2 insoliti e delle query verso servizi di rilevamento IP pubblici (ad esempio, api.ipify.org) in combinazione con trasferimenti di dati in uscita può rivelare infezioni.

Riepilogo

TA585 rappresenta un autore di minacce resiliente che mantiene il controllo sulla distribuzione, la consegna e il funzionamento del payload. Combinando phishing, iniezione di JavaScript a livello di sito, falsi overlay CAPTCHA e il payload commerciale MonsterV2 (integrato con SonicCrypt), l'autore ha assemblato una capacità multi-vettore affidabile per il furto di dati e il controllo remoto. Data la maturità operativa dell'autore e il set di funzionalità modulari di MonsterV2, le organizzazioni dovrebbero dare priorità al rilevamento di comandi basati sul web, catene di download-esecuzione di PowerShell, file binari integrati in SonicCrypt e attività sospette di HVNC o esfiltrazione.

Tendenza

I più visti

Caricamento in corso...