Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programul malware MonsterV2

Programul malware MonsterV2

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT)
Tradu in:

Cercetătorii în domeniul securității cibernetice au expus recent un actor de amenințare nedocumentat anterior, identificat ca TA585, care derula campanii sofisticate de phishing și web-injection pentru a distribui o familie de programe malware standard, cunoscută sub numele de MonsterV2.

TA585 — Un operator care deține întregul lanț de ucidere

TA585 iese în evidență prin faptul că pare să controleze întregul lanț de atac de la un capăt la altul. În loc să cumpere distribuție, să închirieze acces de la brokeri de acces inițial sau să se bazeze pe servicii de trafic terțe, TA585 își gestionează propria infrastructură, mecanisme de livrare și instrumente de instalare. Analiștii descriu clusterul ca fiind sofisticat: actorul folosește injecții web, filtrare și verificări de mediu, precum și multiple tehnici de livrare pentru a maximiza succesul și a evita analiza.

Phishing, ClickFix și momeli cu tematică IRS — manualul de inginerie socială
Campaniile timpurii se bazau pe momeli clasice de phishing, având ca temă pe Serviciul Fiscal Internațional (IRS) al SUA. Țintele primeau mesaje care indicau adrese URL false, care deschideau un PDF; acel PDF conținea un link către o pagină web care folosea tactica de inginerie socială ClickFix. ClickFix păcălește victima să execute o comandă prin intermediul casetei de dialog Executare din Windows sau al unui terminal PowerShell, care apoi execută un script PowerShell suplimentar pentru a extrage și implementa MonsterV2.

Injecții web și suprapuneri CAPTCHA false

În valurile ulterioare observate în aprilie 2025, TA585 a trecut la compromiterea site-urilor web legitime prin injecții JavaScript rău intenționate. Aceste injecții au produs suprapuneri false de verificare CAPTCHA care au declanșat din nou fluxul ClickFix și, în cele din urmă, au lansat o comandă PowerShell pentru a descărca și porni malware-ul. Injecția JavaScript și infrastructura aferentă (în special intlspring.com) au fost, de asemenea, legate de distribuirea altor programe malware care fură informații, inclusiv Rhadamanthys Stealer.

Abuz GitHub și notificări de securitate false

Un al treilea set de campanii TA585 a abuzat de mecanismele de notificare ale GitHub: actorul a etichetat utilizatorii GitHub în notificări frauduloase de „securitate” care conțineau adrese URL care direcționau victimele către site-uri controlate de actori. Aceste alerte GitHub false au fost un alt vector folosit pentru a direcționa victimele în același lanț ClickFix/PowerShell.

Cadrul CoreSecThree — Coloana vertebrală a livrării

Clusterele de activitate web-inject și fake-GitHub au fost asociate cu CoreSecThree, un framework caracterizat de cercetători drept „sofisticat” și utilizat din februarie 2022. CoreSecThree a fost utilizat în mod constant pentru a propaga programe malware de tip stealer în mai multe campanii.

MonsterV2 — Origini și variante

MonsterV2 este o amenințare multifuncțională: un troian de acces la distanță (RAT), un furt de viruse și un încărcător de viruse. Cercetătorii l-au văzut pentru prima dată promovat pe forumuri criminale în februarie 2025. Este denumit și „Aurotun Stealer” (o greșeală ortografică a cuvântului „autorun”) și a fost distribuit anterior prin CastleLoader (cunoscut și sub numele de CastleBot). Iterațiile anterioare ale activității TA585 au distribuit Lumma Stealer înainte de o trecere la MonsterV2 la începutul anului 2025.

Model comercial și geofencing

MonsterV2 este vândut de un operator vorbitor de limbă rusă. Prețurile observate pe piețele criminale sunt: ediția Standard la 800 USD pe lună și o ediție Enterprise la 2.000 USD pe lună. Nivelul Enterprise include stealer + loader, Hidden VNC (HVNC) și suport Chrome DevTools Protocol (CDP). Componenta stealer este configurată pentru a evita infectarea țărilor din Comunitatea Statelor Independente (CSI).

Ambalare, anti-analiză și comportament în timpul rulării

MonsterV2 este de obicei echipat cu un criptor C++ numit SonicCrypt. SonicCrypt oferă verificări anti-analiză stratificate înainte de decriptarea și încărcarea sarcinii utile, permițând evitarea detectării. În timpul execuției, sarcina utilă decriptează, rezolvă funcțiile API Windows de care are nevoie și încearcă ridicarea privilegiilor. Apoi decodează o configurație încorporată care îi instruiește cum să contacteze comanda și controlul (C2) și ce acțiuni trebuie întreprinse.

Indicatoarele de configurare utilizate de MonsterV2 includ:

  • anti_dbg — când este True, malware-ul încearcă să detecteze și să evite programele de depanare.
  • anti_sandbox — când este „Adevărat”, malware-ul încearcă detectarea sandbox-ului și folosește tehnici anti-sandbox rudimentare.
  • aurotun — când este True, malware-ul încearcă să stabilească persistența (greșeala de ortografie este sursa numelui „Aurotun”).
  • priviledge_escalation — când este True, malware-ul încearcă să ridice privilegiile pe gazdă.

Rețele și comportament C2

Dacă MonsterV2 ajunge cu succes la punctul său C2, acesta trimite mai întâi telemetrie de bază a sistemului și geolocalizare prin interogarea unui serviciu public (cercetătorii au observat solicitări către api.ipify.org). Răspunsul C2 conține comenzile de executat. În unele operațiuni observate, sarcinile utile MonsterV2 eliminate au fost configurate să utilizeze același server C2 ca și alte sarcini utile (de exemplu, StealC), deși acele alte campanii nu au fost atribuite direct TA585.

Capacitățile documentate ale MonsterV2 sunt:

  • Fură date sensibile și exfiltrează-le către server.
  • Execută comenzi arbitrare prin cmd.exe sau PowerShell.
  • Terminați, suspendați sau reluați procesele.
  • Stabiliți conexiuni HVNC cu gazda infectată.
  • Faceți capturi de ecran de pe desktop.
  • Rulați un keylogger.
  • Enumerați, manipulați, copiați și exfiltrați fișiere.
  • Opriți sau blocați sistemul.
  • Descărcați și executați sarcini utile de etapă următoare (exemple observate: StealC și Remcos RAT).

Îndrumări de atenuare și detectare

Apărătorii ar trebui să trateze TA585 ca pe un operator capabil, integrat pe verticală, care combină ingineria socială, compromiterea site-urilor și tehnici anti-analiză stratificate. Oportunitățile de detectare includ: monitorizarea activității suspecte de dialog PowerShell/Run provenite din fluxuri web, identificarea injecțiilor JavaScript anormale pe site-uri legitime, blocarea fișierelor binare cunoscute, încărcate cu SonicCrypt, prin detectări comportamentale și semnalarea conexiunilor HVNC/control la distanță neașteptate și a modelelor de exfiltrare a fișierelor. Monitorizarea comunicațiilor către gazde C2 neobișnuite și a interogărilor către serviciile publice de descoperire a IP-urilor (de exemplu, api.ipify.org), împreună cu transferurile de date de ieșire, poate, de asemenea, descoperi infecții.

Rezumat

TA585 reprezintă un actor de amenințare rezistent care păstrează controlul asupra distribuției, livrării și operării sarcinii utile. Prin combinarea phishing-ului, injectării JavaScript la nivel de site, suprapunerilor CAPTCHA false și a sarcinii utile comerciale MonsterV2 (dotată cu SonicCrypt), actorul a asamblat o capacitate multi-vector fiabilă pentru furtul de date și controlul de la distanță. Având în vedere maturitatea operațională a actorului și setul modular de funcții ale MonsterV2, organizațiile ar trebui să acorde prioritate detectării lansărilor de comenzi web, lanțurilor de descărcare-executare PowerShell, fișierelor binar încărcate cu SonicCrypt și activităților HVNC sau de exfiltrare suspecte.

Trending

Cele mai văzute

Se încarcă...