Un recente aggiornamento del loader di malware noto come BLISTER sta alimentando le catene di infezione SocGholish, distribuendo un framework open-source di command-and-control chiamato Mythic. Questo aggiornamento introduce una funzione di keying che permette un targeting più preciso delle reti vittime e riduce l’esposizione in ambienti VM/sandbox, come riportato dai ricercatori di Elastic Security Labs, Salim Bitam e Daniel Stepanic, in un rapporto tecnico pubblicato lo scorso mese. Analizziamo insieme i dettagli di questo sviluppo e le implicazioni per la sicurezza informatica.
Storia e evoluzione del malware BLISTER
BLISTER è stato scoperto per la prima volta nel dicembre 2021, agendo come un canale per distribuire payload Cobalt Strike e BitRAT su sistemi compromessi. Il malware è stato utilizzato insieme a SocGholish, un malware downloader basato su JavaScript, per distribuire Mythic, come precedentemente rivelato da Palo Alto Networks Unit 42 nel luglio 2023.
In questi attacchi, BLISTER viene incorporato all’interno di una libreria legittima del VLC Media Player, nel tentativo di eludere il software di sicurezza e infiltrarsi negli ambienti delle vittime. BLISTER e SocGholish sono stati utilizzati in tandem in diverse campagne, con il secondo utilizzato come loader di seconda fase per distribuire Cobalt Strike e il ransomware LockBit, come evidenziato da Red Canary e Trend Micro all’inizio del 2022.
Analisi dettagliata e tecniche di evasione
Un’analisi più approfondita del malware mostra che è attivamente mantenuto, con gli autori del malware che incorporano una serie di tecniche per rimanere sotto il radar e complicare l’analisi. “BLISTER è un loader che continua a rimanere sotto il radar, utilizzato attivamente per caricare una varietà di malware, tra cui clipbankers, ladri di informazioni, trojan, ransomware e shellcode”, ha notato Elastic nell’aprile 2023.
Questo aggiornamento rappresenta un ulteriore evoluzione delle tecniche utilizzate dagli attori delle minacce, dimostrando una volta di più la necessità di una vigilanza continua nel panorama della sicurezza informatica.