Una versione aggiornata del loader noto come BLISTER è stato adoperato nel contesto dell’attacco malware SocGholish. La sua funzione, a quanto pare, è quella di distribuire un framework di comando e controllo (C2) open source chiamato Mythic.
Secondo Salim Bitam e Daniel Stepanic, ricercatori presso Elastic Security “Il nuovo aggiornamento BLISTER include funzionalità di keying che consentono di individuare con precisione le reti delle vittime e di ridurre l’esposizione all’interno degli ambienti VM/sandbox“. Ciò, come è facile intuire, rende le operazioni di analisi molto più difficili per gli esperti di sicurezza.
BLISTER è stato scoperto per la prima volta nel dicembre 2021, quando venne utilizzato come vettore per distribuire i payload Cobalt Strike e BitRAT su sistemi compromessi. SocGholish (noto anche come FakeUpdates) è un malware downloader basato su JavaScript che ha come obiettivo la diffusione del già citato Mythic.
BLISTER è attivo dal 2021, ma non ha mai smesso di aggiornarsi per aumentare la sua elusività
Nel contesto dell’attacco più recente, BLISTER è incorporato in una libreria VLC Media Player legittima, sfruttata per aggirare il software di sicurezza e infiltrarsi nei sistemi operativi delle vittime.
Sia SocGholish che BLISTER sono stati utilizzati insieme come parte di diverse campagne, con quest’ultimo utilizzato come caricatore di seconda fase per distribuire i ransomware Cobalt Strike e LockBit all’inizio del 2022, come evidenziato da Red Canary e Trend Micro.
A tal proposito, lo scorso mese di aprile, gli esperti di Elastic Security hanno affermato come “BLISTER è un caricatore che continua a rimanere sotto il radar, utilizzato attivamente per caricare una varietà di malware tra cui clipbanker, infostealer, trojan, ransomware e shellcode“.
Vista la sua duttilità, è probabile che sentiremo parlare di questo loader altre volte nel corso delle prossime settimane e mesi.