Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware MonsterV2

Malware MonsterV2

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

Los investigadores de ciberseguridad han expuesto recientemente un actor de amenazas previamente no documentado, identificado como TA585, que ha estado ejecutando sofisticadas campañas de phishing e inyección web para distribuir una familia de malware lista para usar conocida como MonsterV2.

TA585: Un operador que controla toda la cadena de eliminación

TA585 destaca porque parece controlar toda su cadena de ataque de extremo a extremo. En lugar de comprar la distribución, alquilar el acceso a intermediarios de acceso inicial o depender de servicios de tráfico de terceros, TA585 gestiona su propia infraestructura, mecanismos de entrega y herramientas de instalación. Los analistas describen el clúster como sofisticado: el actor utiliza inyecciones web, filtrado y comprobaciones del entorno, así como múltiples técnicas de entrega para maximizar el éxito y evitar el análisis.

Phishing, ClickFix y señuelos con temática del IRS: el manual de ingeniería social
Las primeras campañas se basaban en señuelos clásicos de phishing relacionados con el Servicio de Impuestos Internos (IRS) de EE. UU. Los destinatarios recibían mensajes que dirigían a URL falsas que abrían un PDF; este PDF contenía un enlace a una página web que utilizaba la táctica de ingeniería social ClickFix. ClickFix engaña a la víctima para que ejecute un comando mediante el cuadro de diálogo Ejecutar de Windows o una terminal de PowerShell, que a su vez ejecuta un script de PowerShell para extraer e implementar MonsterV2.

Inyecciones web y superposiciones de CAPTCHA falsas

En oleadas posteriores, observadas en abril de 2025, TA585 pasó a comprometer sitios web legítimos mediante inyecciones maliciosas de JavaScript. Estas inyecciones generaron superposiciones de verificación CAPTCHA falsas que, de nuevo, activaron el flujo de ClickFix y, en última instancia, lanzaron un comando de PowerShell para descargar e iniciar el malware. La inyección de JavaScript y la infraestructura relacionada (en particular, intlspring.com) también se han vinculado a la distribución de otros ladrones, incluido Rhadamanthys Stealer.

Abuso de GitHub y avisos de seguridad falsos

Un tercer conjunto de campañas TA585 abusó de los mecanismos de notificación de GitHub: el actor etiquetó a los usuarios de GitHub en avisos de seguridad fraudulentos que contenían URL que dirigían a las víctimas a sitios controlados por el actor. Estas alertas falsas de GitHub fueron otro vector utilizado para dirigir a las víctimas a la misma cadena de ClickFix/PowerShell.

CoreSecThree Framework: la columna vertebral de la entrega

Los clústeres de actividad de inyección web y GitHub falso se han asociado con CoreSecThree, un marco caracterizado por los investigadores como "sofisticado" y en uso desde febrero de 2022. CoreSecThree se ha utilizado sistemáticamente para propagar malware ladrón en múltiples campañas.

MonsterV2 — Orígenes y variantes

MonsterV2 es una amenaza multipropósito: un troyano de acceso remoto (RAT), ladrón y cargador. Los investigadores lo vieron anunciado por primera vez en foros delictivos en febrero de 2025. También se le conoce como «Aurotun Stealer» (una palabra mal escrita para «autorun») y se distribuyó previamente a través de CastleLoader (también conocido como CastleBot). Versiones anteriores de la actividad TA585 distribuían Lumma Stealer antes de su transición a MonsterV2 a principios de 2025.

Modelo comercial y geofencing

MonsterV2 es vendido por un operador de habla rusa. Los precios observados en plataformas delictivas son: la edición Estándar cuesta 800 USD al mes y la edición Enterprise, 2000 USD al mes. La versión Enterprise incluye un ladrón + cargador, VNC oculto (HVNC) y compatibilidad con el protocolo Chrome DevTools (CDP). El componente ladrón está configurado para evitar infectar a países de la Comunidad de Estados Independientes (CEI).

Empaquetado, antianálisis y comportamiento en tiempo de ejecución

MonsterV2 suele incluir un programa de cifrado en C++ llamado SonicCrypt. SonicCrypt proporciona comprobaciones antianálisis por capas antes de descifrar y cargar la carga útil, lo que permite evitar la detección. En tiempo de ejecución, la carga útil se descifra, resuelve las funciones de la API de Windows que requiere e intenta la elevación de privilegios. A continuación, decodifica una configuración integrada que le indica cómo contactar con su Comando y Control (C2) y qué acciones realizar.

Los indicadores de configuración utilizados por MonsterV2 incluyen:

  • anti_dbg: cuando es Verdadero, el malware intenta detectar y evadir los depuradores.
  • anti_sandbox: cuando es Verdadero, el malware intenta la detección de sandbox y utiliza técnicas anti-sandbox rudimentarias.
  • aurotun: cuando es Verdadero, el malware intenta establecer persistencia (el error ortográfico es el origen del nombre "Aurotun").
  • privilegio_escalation: cuando es Verdadero, el malware intenta elevar privilegios en el host.

Redes y comportamiento C2

Si MonsterV2 alcanza con éxito su C2, primero envía telemetría básica del sistema y geolocalización consultando un servicio público (los investigadores observaron solicitudes a api.ipify.org). La respuesta del C2 contiene los comandos a ejecutar. En algunas operaciones observadas, las cargas útiles descargadas por MonsterV2 se configuraron para usar el mismo servidor C2 que otras cargas útiles (por ejemplo, StealC), aunque estas otras campañas no se atribuyeron directamente a TA585.

Las capacidades documentadas de MonsterV2 son:

  • Robar datos confidenciales y exfiltrarlos al servidor.
  • Ejecute comandos arbitrarios a través de cmd.exe o PowerShell.
  • Terminar, suspender o reanudar procesos.
  • Establecer conexiones HVNC con el host infectado.
  • Capturar capturas de pantalla del escritorio.
  • Ejecutar un keylogger.
  • Enumerar, manipular, copiar y exfiltrar archivos.
  • Apagar o bloquear el sistema.
  • Descargue y ejecute cargas útiles de la siguiente etapa (ejemplos observados: StealC y Remcos RAT).

Guía de mitigación y detección

Los defensores deben considerar a TA585 como un operador competente e integrado verticalmente que combina ingeniería social, vulnerabilidad de sitios web y técnicas antianálisis por capas. Las oportunidades de detección incluyen: la monitorización de actividad sospechosa en el diálogo de PowerShell/Ejecutar proveniente de flujos web, la identificación de inyecciones de JavaScript anómalas en sitios legítimos, el bloqueo de binarios conocidos con SonicCrypt mediante detecciones de comportamiento y la señalización de conexiones HVNC/control remoto inesperadas y patrones de exfiltración de archivos. La monitorización de comunicaciones con hosts C2 inusuales y consultas a servicios públicos de descubrimiento de IP (p. ej., api.ipify.org), junto con las transferencias de datos salientes, también puede descubrir infecciones.

Resumen

TA585 representa un actor de amenazas resiliente que mantiene el control sobre la distribución, la entrega y la operación de la carga útil. Al combinar phishing, inyección de JavaScript a nivel de sitio, superposiciones de CAPTCHA falsas y la carga útil comercial MonsterV2 (incluida con SonicCrypt), el actor ha desarrollado una capacidad confiable y multivectorial para el robo de datos y el control remoto. Dada su madurez operativa y el conjunto de características modulares de MonsterV2, las organizaciones deben priorizar la detección de ejecuciones de comandos web, cadenas de descarga y ejecución de PowerShell, binarios con SonicCrypt y actividad sospechosa de HVNC o exfiltración.

Tendencias

Mas Visto

Cargando...