Pesquisadores em cibersegurança revelaram a existência de um ator de ameaça até então desconhecido, identificado como TA585, que distribui um malware comercial chamado MonsterV2 por meio de campanhas de phishing.
A Proofpoint Threat Research Team descreveu as atividades desse grupo como sofisticadas, destacando o uso de técnicas como web injections e filtragens ao longo da cadeia de ataque.
Segundo os pesquisadores Kyle Cucci, Tommy Madjar e Selena Larson, “o TA585 se diferencia por controlar toda a sua cadeia de ataque, utilizando múltiplas técnicas de entrega.
Em vez de depender de terceiros — como pagar pela distribuição, comprar acessos de brokers de initial access ou usar sistemas de delivery de tráfego de terceiros — o grupo gerencia sua infraestrutura, distribuição e instalação do malware de forma própria.”
O MonsterV2 é um trojan de acesso remoto (RAT), stealer e loader.
A Proofpoint observou pela primeira vez sua oferta em fóruns criminosos em fevereiro de 2025.
Também conhecido como Aurotun Stealer — uma grafia incorreta de “autorun” — o malware já foi distribuído anteriormente via CastleLoader (ou CastleBot).
As campanhas de phishing relacionadas utilizam iscas temáticas do Internal Revenue Service (IRS) dos EUA para enganar usuários, levando-os a clicar em URLs falsas que direcionam a um PDF.
Esse PDF, por sua vez, redireciona para uma página que aplica a técnica de engenharia social ClickFix, ativando a infecção ao executar um comando malicioso no Windows Run dialog ou no terminal PowerShell.
Esse comando PowerShell executa um script que implanta o MonsterV2.
Em ondas de ataque posteriores, detectadas em abril de 2025, foram observadas injeções maliciosas de JavaScript em sites legítimos.
Essas injeções exibem sobreposições falsas de verificação CAPTCHA para iniciar a infecção pelo ClickFix, culminando na entrega do malware via comando PowerShell.
Inicialmente, a campanha distribuía o Lumma Stealer, mas, no início de 2025, o TA585 passou a utilizar o MonsterV2.
Curiosamente, o script JavaScript injetado e a infraestrutura associada (intlspring[.]com) também estão ligados à distribuição do Rhadamanthys Stealer.
Outra modalidade das campanhas do TA585 envolve o envio de notificações falsas por e-mail, simulando alertas do GitHub, acionadas ao marcar usuários em mensagens fraudulentas de segurança que contêm URLs para sites controlados pelos invasores.
Ambos os vetores — injeções web e alertas falsos do GitHub — foram associados ao framework CoreSecThree, que, segundo a PRODAFT, é uma estrutura sofisticada ativa desde fevereiro de 2022, usada constantemente para propagar stealer malware.
O MonsterV2 é um malware completo, capaz de roubar dados sensíveis, agir como clipper ao alterar endereços de criptomoedas copiados para a área de transferência por endereços das carteiras dos criminosos, estabelecer controle remoto via Hidden Virtual Network Computing (HVNC), receber e executar comandos de servidores externos e baixar cargas adicionais.
O malware é vendido por um ator de língua russa por US$ 800 mensais na edição “Standard”.
Já a versão “Enterprise”, que inclui stealer, loader, HVNC e suporte ao Chrome DevTools Protocol (CDP), custa US$ 2.000 por mês.
Um detalhe importante é que o stealer evita infectar alvos localizados nos países da Comunidade dos Estados Independentes (CEI).
Para evitar detecção, o MonsterV2 costuma ser empacotado com um crypter em C++ chamado SonicCrypt, que realiza várias checagens anti-análise antes de descriptografar e carregar a carga útil.
Ao ser executado, o malware descriptografa e resolve funções essenciais da API do Windows e eleva seus privilégios.
Em seguida, decodifica uma configuração embutida que define como se conectar ao servidor de comando e controle (C2) e quais ações tomar, conforme parâmetros como:
- anti_dbg: tenta detectar e evitar o uso de debuggers
- anti_sandbox: identifica sandboxes e aplica técnicas básicas para evitá-las
- aurotun (grafia errada que originou o nome Aurotun Stealer): habilita persistência no sistema infectado
- privilege_escalation: realiza elevação de privilégios
Quando o malware estabelece comunicação com o C2, ele envia informações básicas do sistema e sua geolocalização obtida via “api.ipify[.]org”.
O servidor responde com comandos a serem executados no host, entre eles:
- execução da funcionalidade de infostealer e exfiltração de dados
- execução de comandos arbitrários via cmd.exe ou PowerShell
- término, suspensão e retomada de processos
- estabelecimento de conexão HVNC
- captura de screenshots da área de trabalho
- ativação de keylogger
- enumeração, manipulação, cópia e exfiltração de arquivos
- desligamento ou travamento do sistema
- download e execução de payloads adicionais, como StealC e Remcos RAT
Embora essa atividade não tenha sido diretamente correlacionada ao TA585, a Proofpoint destaca que os payloads MonsterV2 foram configurados para usar o mesmo servidor C2 que o payload StealC.
Eles ressaltam ainda: “TA585 é um ator de ameaça único, com capacidades avançadas de direcionamento e entrega.
Em um cenário de cibercrime em constante mudança, o grupo adotou estratégias eficazes para filtragem, distribuição e instalação do malware.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...