Os agentes de ameaças por trás do malware More_eggs foram associados a duas novas famílias de malwares, indicando uma expansão de sua operação de malware-as-a-service (MaaS).
Isso inclui uma backdoor de roubo de informações inovadora chamada RevC2 e um loader codinomeado Venom Loader, ambos implantados usando VenomLNK, uma ferramenta essencial que serve como vetor de acesso inicial para a implantação de payloads subsequentes.
"RevC2 usa WebSockets para se comunicar com seu servidor de comando e controle (C2).
O malware é capaz de roubar cookies e senhas, fazer proxy de tráfego de rede e habilitar a execução remota de código (RCE)", disse o pesquisador da Zscaler ThreatLabz, Muhammed Irfan V A.
Venom Loader é um novo carregador de malware que é personalizado para cada vítima, usando o nome do computador da vítima para codificar o payload.
Ambas as famílias de malware foram distribuídas como parte de campanhas observadas pela empresa de segurança cibernética entre agosto e outubro de 2024.
O agente de ameaças por trás das ofertas de e-crime é monitorado como Venom Spider (conhecido também como Golden Chickens).
O mecanismo exato de distribuição atualmente não é conhecido, mas o ponto de partida de uma das campanhas é o VenomLNK, que, além de exibir uma imagem decoy em PNG, executa o RevC2.
A backdoor está equipada para roubar senhas e cookies de navegadores Chromium, executar comandos shell, tirar screenshots, fazer proxy de tráfego usando SOCKS5 e executar comandos como um usuário diferente.
A segunda campanha também começa com VenomLNK para entregar uma imagem isca, ao mesmo tempo que executa sorrateiramente o Venom Loader.
O loader é responsável por lançar More_eggs lite, uma variante leve do backdoor em JavaScript que fornece apenas capacidades de RCE.
Os novos achados são um sinal de que os autores de malwares continuam a renovar e refinar seu conjunto de ferramentas customizadas com novos malwares, apesar do fato de que, no ano passado, dois indivíduos do Canadá e Romênia foram expostos por operar a plataforma de MaaS.
A divulgação vem à medida que a ANY.RUN detalhou um loader de malware fileless anteriormente não documentado chamado PSLoramyra, que tem sido usado para entregar o malware Quasar RAT de código aberto.
"Este malware avançado aproveita scripts de PowerShell, VBS e BAT para injetar payloads maliciosas em um sistema, executá-las diretamente na memória e estabelecer acesso persistente", disse.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...