ModernLoader Malware

O ModernLoader Malware possui recursos de carregador e RAT (Remote Acess Trojan). A ameaça é relativamente leve e, como tal, não está equipada com um extenso conjunto de recursos de ameaça. Afinal, seu principal objetivo é se infiltrar em dispositivos direcionados e ajudar a implantar uma carga útil de próximo estágio mais especializada para eles. Os pesquisadores da Infosec também rastreiam o ModernLoader sob os nomes Avatar Bot e AvatarLoader.

Quando totalmente estabelecido no sistema violado, o ModernLoader primeiro coletará dados relacionados ao dispositivo, incluindo a versão do sistema operacional, CPU, RAM, espaço em disco atualmente disponível, tipo de conta ativa, endereço IP, verificação da presença de ferramentas de segurança e muito mais. Depois, a ameaça prosseguirá com sua tarefa principal de buscar e implantar módulos corrompidos adicionais.

Os pesquisadores do Cisco Talos Intelligence Group, que analisaram o ModernLoader, descobriram 10 desses módulos hospedados no servidor de Comando e Controle (C2, C&C) dos agentes de ameaças. No entanto, os pesquisadores observam que nem todos os 10 módulos estavam disponíveis para download. Quando o ModernLoader for ativado, ele será executado em um loop perpétuo e entrará em contato com seu servidor C2 apenas periodicamente para verificar novas instruções ou tarefas. Até agora, a ameaça tem sido usada em campanhas de ataque que entregam um grupo diversificado de malware, incluindo versões da ferramenta de mineração de criptografia XMRig, a ameaça RedLine Stealer, o malware SystemBC e o DarkCrystal RAT.