Una versión actualizada de un cargador de malware conocido como BLISTER se está utilizando como parte de las cadenas de infección SocGholish para distribuir un marco de comando y control (C2) de código abierto llamado Mythic.
«La nueva actualización de BLISTER incluye una función de clave que permite una orientación precisa de las redes de las víctimas y reduce la exposición dentro de los entornos de VM / sandbox», dijeron los investigadores de Elastic Security Labs Salim Bitam y Daniel Stepanic en un informe técnico publicado a fines del mes pasado.
BLISTER fue descubierto por primera vez por la compañía en diciembre de 2021 actuando como un conducto para distribuir cargas útiles de Cobalt Strike y BitRAT en sistemas comprometidos.
El uso del malware junto con SocGholish (también conocido como FakeUpdates), un malware de descarga basado en JavaScript, para entregar Mythic fue revelado previamente por Palo Alto Networks Unit 42 en julio de 2023.
En estos ataques, BLISTER está incrustado dentro de una biblioteca legítima de VLC Media Player en un intento de sortear el software de seguridad e infiltrarse en los entornos de las víctimas.
Tanto SocGholish como BLISTER se han utilizado en tándem como parte de varias campañas, y este último se ha utilizado como cargador de segunda etapa para distribuir Cobalt Strike y LockBit ransomware, como lo demostraron Red Canary y Trend Micro a principios de 2022.
Un análisis más detallado del malware muestra que se está manteniendo activamente, con los autores de malware incorporando una serie de técnicas para volar bajo el radar y complicar el análisis.
«BLISTER es un cargador que continúa bajo el radar, siendo utilizado activamente para cargar una variedad de malware, incluidos clipbankers, ladrones de información, troyanos, ransomware y shellcode», señaló Elastic en abril de 2023.
Fuente y redacción: underc0de.org
