Una versión actualizada de un cargador de malware conocido como BLISTER se está utilizando como parte de cadenas de infección SocGholish para distribuir un marco de comando y control (C2) de código abierto llamado Mythic.
"La nueva actualización de BLISTER incluye una función de identificación que permite un direccionamiento preciso de las redes de las vÃctimas y reduce la exposición en entornos de máquinas virtuales/sandbox", dijeron los investigadores de Elastic Security Labs, Salim Bitam y Daniel Stepanic, en un informe técnico publicado a finales del mes pasado.
BLISTER fue descubierto por primera vez por la empresa en diciembre de 2021 actuando como un conducto para distribuir cargas útiles de Cobalt Strike y BitRAT en sistemas comprometidos.
El uso del malware junto con SocGholish (también conocido como FakeUpdates), un malware descargador basado en JavaScript, para entregar Mythic ya habÃa sido revelado anteriormente por Palo Alto Networks Unit 42 en julio de 2023.
En estos ataques, BLISTER se incrusta en una biblioteca legÃtima de VLC Media Player en un intento de evadir el software de seguridad e infiltrar los entornos de las vÃctimas.
Tanto SocGholish como BLISTER se han utilizado en tándem como parte de varias campañas, siendo este último utilizado como un cargador de segunda etapa para distribuir Cobalt Strike y el ransomware LockBit, como lo evidenció Red Canary y Trend Micro a principios de 2022.
Un análisis más detenido del malware muestra que está siendo mantenido activamente, con los autores del malware incorporando una serie de técnicas para pasar desapercibidos y complicar el análisis.
"BLISTER es un cargador que continúa pasando desapercibido, siendo utilizado activamente para cargar una variedad de malware, incluyendo clipbankers, roba información, troyanos, ransomware y shellcode", señaló Elastic en abril de 2023.
¿Quieres saber más?