Οι δημιουργοί του κακόβουλου λογισμικού More_eggs επεκτείνουν τη δραστηριότητά τους μέσω της υπηρεσίας malware-as-a-service (MaaS), συνδέοντάς το με τα κακόβουλα λογισμικά RevC2 backdoor και Venom Loader, που διανέμονται μέσω του VenomLNK.
Το RevC2 χρησιμοποιεί WebSockets για επικοινωνία με τον Command and Control (C2) server και προσφέρει δυνατότητες όπως η κλοπή cookies και κωδικών πρόσβασης, η διαχείριση δικτυακής κυκλοφορίας μέσω proxy και η εκτέλεση απομακρυσμένων εντολών.
Διαβάστε σχετικά: MirrorFace: Εγκαθιστά τα ANEL και NOOPDOOR Backdoors
Από την άλλη, το Venom Loader προσαρμόζεται ειδικά για κάθε θύμα, κρυπτογραφώντας το payload με βάση το όνομα του υπολογιστή του στόχου.
Ένας Τεράστιος Σταθμός Ηλιακής Ενέργειας στο Διάστημα;
Το Hubble βρήκε νεογέννητα αστέρια στο νεφέλωμα του Ωρίωνα
Ημιμαραθώνιος Κίνα: Άνθρωποι θα αναμετρηθούν με ρομπότ
Σύμφωνα με την Zscaler ThreatLabz, οι κακόβουλες καμπάνιες που εκμεταλλεύονται αυτά τα λογισμικά παρατηρήθηκαν από τον Αύγουστο έως τον Οκτώβριο του 2024 και συνδέονται με την ομάδα Venom Spider (γνωστή και ως Golden Chickens).
Το VenomLNK λειτουργεί ως το αρχικό μέσο πρόσβασης, χρησιμοποιώντας εικόνες τύπου PNG ως δόλωμα, ενώ στο παρασκήνιο ενεργοποιεί τα κακόβουλα προγράμματα. Το RevC2, πέρα από την κλοπή δεδομένων, μπορεί να εκτελεί shell commands, να τραβάει screenshots και να λειτουργεί υπό διαφορετικά προφίλ χρηστών. Το Venom Loader, αντιθέτως, υλοποιεί μια πιο ελαφριά έκδοση του More_eggs, εστιάζοντας αποκλειστικά στις δυνατότητες απομακρυσμένης εκτέλεσης εντολών (RCE).
Δείτε περισσότερα: Οι hackers APT-C-60 εκμεταλλεύονται τα StatCounter & Bitbucket για διανομή του SpyGlace backdoor
Παράλληλα, το ANY.RUN εντόπισε ένα ακόμα κακόβουλο λογισμικό, το PSLoramyra, ένα fileless loader που χρησιμοποιεί PowerShell, VBS και BAT scripts για την έγχυση payloads απευθείας στη μνήμη, διατηρώντας παράλληλα πρόσβαση στο σύστημα. Οι εξελίξεις αυτές αποδεικνύουν ότι οι δημιουργοί κακόβουλου λογισμικού συνεχίζουν να αναβαθμίζουν τα εργαλεία τους, παρά τις περσινές συλλήψεις δύο ατόμων που συνδέονταν με την πλατφόρμα MaaS.
Πηγή: thehackernews