Se está utilizando una versión actualizada de un cargador de malware conocido como BLISTER como parte de las cadenas de infección SocGholish para distribuir un marco de comando y control (C2) de código abierto llamado Mythic .
«La nueva actualización de BLISTER incluye una función de clave que permite apuntar con precisión a las redes de las víctimas y reduce la exposición dentro de los entornos VM/sandbox», dijeron los investigadores de Elastic Security Labs Salim Bitam y Daniel Stepanic en un informe técnico publicado a finales del mes pasado.
BLISTER fue descubierto por primera vez por la compañía en diciembre de 2021 y actúa como un conducto para distribuir cargas útiles de Cobalt Strike y BitRAT en sistemas comprometidos.
El uso del malware junto con SocGholish (también conocido como FakeUpdates), un malware de descarga basado en JavaScript, para entregar Mythic fue revelado previamente por la Unidad 42 de Palo Alto Networks en julio de 2023.
En estos ataques, BLISTER está integrado en una biblioteca legítima de VLC Media Player en un intento de eludir el software de seguridad e infiltrarse en los entornos de las víctimas.
Tanto SocGholish como BLISTER se han utilizado en conjunto como parte de varias campañas, y este último se ha utilizado como cargador de segunda etapa para distribuir el ransomware Cobalt Strike y LockBit, como lo demostraron Red Canary y Trend Micro a principios de 2022.
Un análisis más detallado del malware muestra que se está manteniendo activamente, y los autores del malware incorporan una serie de técnicas para pasar desapercibidos y complicar el análisis.
«BLISTER es un cargador que sigue pasando desapercibido y se utiliza activamente para cargar una variedad de malware, incluidos clipbankers, ladrones de información, troyanos, ransomware y shellcode», señaló Elastic en abril de 2023.
Fuente y redacción: thehackernews.com
