Uma versão atualizada de um carregador de malware conhecido como BLISTER está sendo usada como parte das cadeias de infecção SocGholish para distribuir um framework de comando e controle (C2) de código aberto chamado Mythic.
"Nova atualização do BLISTER inclui recurso de seleção que permite o direcionamento preciso das redes da vítima e reduz a exposição em ambientes de VM/caixa de proteção", disseram os pesquisadores dos Laboratórios de Segurança Elástica, Salim Bitam e Daniel Stepanic, em um relatório técnico publicado no fim do último mês.
O BLISTER foi descoberto pela primeira vez pela empresa em dezembro de 2021, atuando como um conduto para distribuir as cargas úteis Cobalt Strike e BitRAT em sistemas comprometidos.
O uso do malware ao lado do SocGholish (também conhecido como FakeUpdates), um malware downloader baseado em JavaScript, para entregar o Mythic foi divulgado anteriormente pela Palo Alto Networks Unit 42 em julho de 2023.
Nestes ataques, o BLISTER é incorporado a uma biblioteca legítima do VLC Media Player em uma tentativa de contornar o software de segurança e infiltrar-se nos ambientes das vítimas.
Tanto o SocGholish quanto o BLISTER têm sido usados em conjunto como parte de várias campanhas, este último sendo usado como um carregador de segunda etapa para distribuir o ransomware Cobalt Strike e LockBit, conforme evidenciado pela Red Canary e Trend Micro no início de 2022.
Uma análise mais detalhada do malware mostra que ele está sendo ativamente mantido, com os autores do malware incorporando uma série de técnicas para passar desapercebido e complicar a análise.
"BLISTER é um carregador que continua a voar sob o radar, sendo usado ativamente para carregar uma variedade de malwares, incluindo banqueiros de clipe, roubadores de informações, trojans, ransomware e shellcode", observou a Elastic em abril de 2023.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...