Detección del Bot ModernLoader: Se Propaga a través de Falsas Tarjetas de Regalo de Amazon, Compromete a Usuarios en Europa del Este
Tabla de contenidos:
ModernLoader bot, también conocido como Avatar bot, es un troyano de acceso remoto .NET con capacidades para descargar y ejecutar archivos desde el servidor C&C, recopilar información del sistema y ejecutar instrucciones arbitrarias. Con el control remoto proporcionado por el malware, los actores de amenaza utilizan la red comprometida para la propagación de botnets.
La cadena de evidencia sugiere que estos ataques pueden atribuirse a un nuevo grupo de ciberdelincuentes de habla rusa que apuntan a usuarios en Polonia, Hungría, Bulgaria y Rusia. Los adversarios comprometen vulnerabilidades en WordPress y CPanel, atrayendo a los usuarios a descargar implantes maliciosos disfrazados de certificados de regalo de Amazon.
Detectar el Bot ModernLoader
Para defenderse proactivamente contra el ModernLoader RAT, SOC Prime ha lanzado una única, enriquecida en contexto regla Sigma desarrollada por el perspicaz Threat Bounty Program colaborador Aykut Gürses:
Detección de Tarea Programada de mineros de criptomonedas y RATs de ModernLoader (mediante cmdline)
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Devo, LimaCharlie, Snowflake, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, AWS OpenSearch, Carbon Black, Securonix y Open Distro.
La regla está alineada con el marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Tarea/Trabajo Programado (T1053) como técnica principal.
Los profesionales de seguridad aspirantes que buscan mantenerse al día con las últimas tendencias que dan forma al panorama actual de ciberamenazas se beneficiarán del primer motor de búsqueda de ciberamenazas de la industria. Presione el botón Explorar Contexto de Amenaza para navegar instantáneamente por el conjunto de las principales amenazas relacionadas con RAT y los algoritmos de detección recién lanzados, explorando información contextual relevante en un solo lugar. Tanto los profesionales de seguridad aspirantes como los experimentados que buscan mantenerse al día con las últimas tendencias que dan forma al panorama actual de ciberamenazas se beneficiarán al navegar por la vasta biblioteca de contenido que se actualiza constantemente con piezas verificadas, ahora alcanzando una cantidad de más de 200,000 detecciones enriquecidas con contexto. Explore los planes de suscripción disponibles presionando el botón Elegir un Plan ¡Mantente por delante del adversario sin esfuerzo!
Explorar Detecciones Elegir un Plan
Campaña de Distribución de ModernLoader
Cisco Talos el equipo de investigación detectó una oleada de distribución de malware durante el período de marzo a junio de 2022. Basado en los ataques observados e informes de noticias, es posible identificar tres campañas de distribución de malware que propagan ModernLoader RAT, malware de robo de información RedLine, y mineros de criptomonedas. Los atacantes aprovechan PowerShell, ensamblajes .NET, y archivos HTA y VBS para moverse lateralmente a través de las redes comprometidas, dejando caer cargas útiles maliciosas adicionales. Estos ataques exponen organizaciones globales en varios sectores de la industria a riesgos severos.
El actor de amenaza detrás de las campañas enumeradas está utilizando herramientas genéricas; los investigadores lo toman como un indicador de la falta de habilidades técnicas del actor criminal requeridas para diseñar sus propias herramientas.
En 2022, se espera que el número de ciberataques a nivel mundial supere los registros de años anteriores. Practicamos el modelo Follow the Sun (FTS), asegurando una respuesta oportuna a las amenazas habilitadas por líderes de la industria desde ubicaciones en diferentes zonas horarias, para que nuestros clientes puedan obtener los mejores resultados con el enfoque innovador de Detección como Código. Adelántate a los adversarios con soluciones integrales desarrolladas por líderes de la industria desde SOC Prime.
