Μια ενημερωμένη έκδοση ενός malware loader γνωστού ως BLISTER χρησιμοποιείται ως μέρος των αλυσίδων μολύνσεων SocGholish για τη διανομή ενός command-and-control (C2) framework ανοιχτού κώδικα που ονομάζεται Mythic.
Δείτε επίσης: Atlas VPN zero-day: Διαρρέει την διεύθυνση IP των χρηστών
“Το νέο BLISTER update περιλαμβάνει λειτουργία κλειδώματος που επιτρέπει την ακριβή στόχευση των δικτύων των θυμάτων και μειώνει την έκθεση σε περιβάλλοντα VM/sandbox”, δήλωσαν οι ερευνητές της Elastic Security Labs Salim Bitam και Daniel Stepanic σε μια τεχνική έκθεση που δημοσιεύθηκε στα τέλη του περασμένου μήνα.
Δείτε επίσης: Το crypto casino Stake.com χάνει $41 εκατομμύρια από hackers του hot wallet
Το BLISTER malware αποκαλύφθηκε για πρώτη φορά από την εταιρεία τον Δεκέμβριο του 2021, λειτουργώντας ως μέσο διανομής για τα φορτία Cobalt Strike και BitRAT σε συμβιβασμένα συστήματα.
Η χρήση του malware σε συνδυασμό με το SocGholish (επίσης γνωστό ως FakeUpdates), ένα κακόβουλο λογισμικό λήψης βασισμένο σε JavaScript, για την παράδοση του Mythic, αναφέρθηκε προηγουμένως από την Palo Alto Networks Unit 42 τον Ιούλιο του 2023.
Σε αυτές τις επιθέσεις, το BLISTER ενσωματώνεται σε ένα νόμιμο βιβλιοθήκη του VLC Media Player, με σκοπό να παρακάμψει το λογισμικό ασφαλείας και να διεισδύσει στο περιβάλλον των θυμάτων.
Τόσο το SocGholish όσο και το BLISTER έχουν χρησιμοποιηθεί παράλληλα ως μέρος πολλών καμπανιών, με το τελευταίο να χρησιμοποιείται ως loader δεύτερου σταδίου για τη διανομή Cobalt Strike και LockBit ransomware, όπως αποδεικνύεται από το Red Canary και το Trend Micro στις αρχές του 2022.
Δείτε επίσης: ASUS routers ευάλωτα σε κρίσιμες ευπάθειες
Μια λεπτομερής ανάλυση του malware αποκαλύπτει ότι είναι ενεργά συντηρούμενο, με τους δημιουργούς του να ενσωματώνουν μια σειρά τεχνικών για να πετύχουν την αποφυγή ανίχνευσης και την περιπλοκοποίηση της ανάλυσης.
Πηγή πληροφοριών: thehackernews.com