Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware MonsterV2

Malware MonsterV2

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Pesquisadores de segurança cibernética expuseram recentemente um agente de ameaça até então não documentado, rastreado como TA585, que vem executando campanhas sofisticadas de phishing e injeção na web para distribuir uma família de malware pronta para uso conhecida como MonsterV2.

TA585 — Um operador que detém toda a cadeia de destruição

O TA585 se destaca porque parece controlar toda a sua cadeia de ataques de ponta a ponta. Em vez de comprar distribuição, alugar acesso de corretores de acesso inicial ou depender de serviços de tráfego de terceiros, o TA585 gerencia sua própria infraestrutura, mecanismos de entrega e ferramentas de instalação. Analistas descrevem o cluster como sofisticado: o ator utiliza injeções na web, filtragem, verificações de ambiente e diversas técnicas de entrega para maximizar o sucesso e evitar a análise.

Phishing, ClickFix e iscas com tema do IRS — o manual de engenharia social
As primeiras campanhas dependiam de iscas clássicas de phishing com o tema da Receita Federal dos EUA (IRS). Os alvos recebiam mensagens que direcionavam para URLs falsas, que abriam um PDF; esse PDF continha um link para uma página da web que usava a tática de engenharia social do ClickFix. O ClickFix engana a vítima, fazendo-a executar um comando por meio da caixa de diálogo Executar do Windows ou de um terminal do PowerShell, que então executa um script do PowerShell subsequente para extrair e implantar o MonsterV2.

Injeções na Web e sobreposições falsas de CAPTCHA

Em ondas subsequentes observadas em abril de 2025, o TA585 passou a comprometer sites legítimos por meio de injeções maliciosas de JavaScript. Essas injeções produziram sobreposições falsas de verificação de CAPTCHA que acionaram novamente o fluxo do ClickFix e, por fim, lançaram um comando do PowerShell para baixar e iniciar o malware. A injeção de JavaScript e a infraestrutura relacionada (notadamente intlspring.com) também foram associadas à distribuição de outros ladrões, incluindo o Rhadamanthys Stealer.

Abuso do GitHub e avisos de segurança falsos

Um terceiro conjunto de campanhas TA585 abusou da mecânica de notificação do GitHub: o agente marcou usuários do GitHub em avisos de "segurança" fraudulentos que continham URLs direcionando as vítimas para sites controlados pelo agente. Esses alertas falsos do GitHub foram outro vetor usado para levar as vítimas à mesma cadeia ClickFix/PowerShell.

Framework CoreSecThree — A espinha dorsal da entrega

Os clusters de atividades de injeção na web e fake GitHub foram associados ao CoreSecThree, uma estrutura caracterizada por pesquisadores como "sofisticada" e em uso desde fevereiro de 2022. O CoreSecThree tem sido usado consistentemente para propagar malware ladrão em várias campanhas.

MonsterV2 — Origens e Variantes

O MonsterV2 é uma ameaça multiuso: um trojan de acesso remoto (RAT), ladrão e carregador. Pesquisadores o viram sendo anunciado pela primeira vez em fóruns criminais em fevereiro de 2025. Ele também é conhecido como "Aurotun Stealer" (um erro de grafia de "autorun") e já foi distribuído via CastleLoader (também conhecido como CastleBot). Iterações anteriores da atividade do TA585 distribuíram o Lumma Stealer antes de uma mudança para o MonsterV2 no início de 2025.

Modelo Comercial e Geofencing

O MonsterV2 é vendido por uma operadora de língua russa. Preços observados em marketplaces criminosos: a edição Standard custa US$ 800 por mês e a edição Enterprise custa US$ 2.000 por mês. A versão Enterprise inclui suporte para stealer + loader, Hidden VNC (HVNC) e Chrome DevTools Protocol (CDP). O componente stealer é configurado para evitar a infecção de países da Comunidade dos Estados Independentes (CEI).

Comportamento de empacotamento, antianálise e tempo de execução

O MonsterV2 normalmente vem com um criptografador C++ chamado SonicCrypt. O SonicCrypt fornece verificações antianálise em camadas antes de descriptografar e carregar o payload, permitindo a evasão de detecção. Em tempo de execução, o payload descriptografa, resolve as funções da API do Windows necessárias e tenta a elevação de privilégio. Em seguida, ele decodifica uma configuração incorporada que o instrui sobre como contatar seu Comando e Controle (C2) e quais ações tomar.

Os sinalizadores de configuração usados pelo MonsterV2 incluem:

  • anti_dbg — quando Verdadeiro, o malware tenta detectar e escapar dos depuradores.
  • anti_sandbox — quando Verdadeiro, o malware tenta a detecção de sandbox e usa técnicas anti-sandbox rudimentares.
  • aurotun — quando Verdadeiro, o malware tenta estabelecer persistência (o erro de grafia é a fonte do nome 'Aurotun').
  • priviledge_escalation — quando Verdadeiro, o malware tenta elevar privilégios no host.

Networking e comportamento C2

Se o MonsterV2 atingir seu C2 com sucesso, ele primeiro envia telemetria básica do sistema e geolocalização consultando um serviço público (pesquisadores observaram solicitações para api.ipify.org). A resposta do C2 contém os comandos a serem executados. Em algumas operações observadas, as cargas úteis descartadas pelo MonsterV2 foram configuradas para usar o mesmo servidor C2 que outras cargas úteis (por exemplo, StealC), embora essas outras campanhas não tenham sido diretamente atribuídas ao TA585.

Os recursos documentados do MonsterV2 são:

  • Roube dados confidenciais e exfiltre-os para o servidor.
  • Execute comandos arbitrários via cmd.exe ou PowerShell.
  • Encerrar, suspender ou retomar processos.
  • Estabeleça conexões HVNC com o host infectado.
  • Capture capturas de tela da área de trabalho.
  • Execute um keylogger.
  • Enumerar, manipular, copiar e exfiltrar arquivos.
  • Desligue ou trave o sistema.
  • Baixe e execute cargas úteis do próximo estágio (exemplos observados: StealC e Remcos RAT).

Orientação de mitigação e detecção

Os defensores devem tratar o TA585 como um operador capaz e verticalmente integrado que combina engenharia social, comprometimento de sites e técnicas de antianálise em camadas. As oportunidades de detecção incluem: monitoramento de atividades suspeitas de PowerShell/Executar diálogo originadas de fluxos baseados na web, identificação de injeções anômalas de JavaScript em sites legítimos, bloqueio de binários conhecidos compactados com SonicCrypt por meio de detecções comportamentais e sinalização de conexões HVNC/controle remoto inesperadas e padrões de exfiltração de arquivos. O monitoramento de comunicações com hosts C2 incomuns e consultas a serviços públicos de descoberta de IP (por exemplo, api.ipify.org), em conjunto com transferências de dados de saída, também pode revelar infecções.

Resumo

O TA585 representa um agente de ameaça resiliente que mantém o controle sobre a distribuição, a entrega e a operação do payload. Combinando phishing, injeção de JavaScript em nível de site, sobreposições falsas de CAPTCHA e o payload comercial MonsterV2 (com SonicCrypt), o agente criou uma capacidade confiável e multivetorial para roubo de dados e controle remoto. Dada a maturidade operacional do agente e o conjunto modular de recursos do MonsterV2, as organizações devem priorizar a detecção de lançamentos de comandos acionados pela web, cadeias de download e execução do PowerShell, binários compactados com SonicCrypt e atividades suspeitas de HVNC ou exfiltração.

Tendendo

German Federal Criminal Police Ransomware (BKA)...

Segurança do Computador
Ultimamente, as ameaças de ransomware cresceram em abundância, aproveitando uma infinidade de falsas alegações, desde as autoridades policiais locais que detectam a distribuição de software ilegal até a exibição de pornografia infantil. Mais recentemente, notificamos uma ameaça específica de ransomware, apelidada de BKA da Polícia Criminal Federal da Alemanha (BKA), que teve casos em que na...

Mais visto

Carregando...