Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware MonsterV2-Malware

MonsterV2-Malware

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Cybersicherheitsforscher haben kürzlich einen bislang undokumentierten Bedrohungsakteur mit der Bezeichnung TA585 enttarnt, der ausgeklügelte Phishing- und Web-Injection-Kampagnen durchführte, um eine handelsübliche Malware-Familie namens MonsterV2 zu verbreiten.

TA585 – Ein Betreiber, der die gesamte Kill Chain besitzt

TA585 fällt auf, weil es seine gesamte Angriffskette scheinbar von Anfang bis Ende kontrolliert. Anstatt Distribution zu kaufen, Zugriff von Erstzugriffsbrokern zu leasen oder auf Datenverkehrsdienste von Drittanbietern zurückzugreifen, verwaltet TA585 seine Infrastruktur, Bereitstellungsmechanismen und Installationstools selbst. Analysten beschreiben den Cluster als komplex: Der Akteur nutzt Web-Injections, Filterung und Umgebungsprüfungen sowie verschiedene Bereitstellungstechniken, um den Erfolg zu maximieren und Analysen zu vermeiden.

Phishing, ClickFix und IRS-Köder – das Social-Engineering-Handbuch
Frühe Kampagnen basierten auf klassischen Phishing-Ködern mit dem Thema der US-Steuerbehörde (IRS). Die Opfer erhielten Nachrichten mit gefälschten URLs, die eine PDF-Datei öffneten. Diese PDF-Datei enthielt einen Link zu einer Webseite, die die Social-Engineering-Taktik ClickFix nutzte. ClickFix bringt ein Opfer dazu, einen Befehl über das Windows-Ausführen-Dialogfeld oder ein PowerShell-Terminal auszuführen. Daraufhin wird ein nachfolgendes PowerShell-Skript ausgeführt, um MonsterV2 zu laden und bereitzustellen.

Web-Injections und gefälschte CAPTCHA-Overlays

In nachfolgenden Wellen im April 2025 konzentrierte sich TA585 auf die Kompromittierung legitimer Websites durch bösartige JavaScript-Injektionen. Diese Injektionen erzeugten gefälschte CAPTCHA-Verifizierungs-Overlays, die wiederum den ClickFix-Flow auslösten und schließlich einen PowerShell-Befehl zum Herunterladen und Starten der Malware starteten. Die JavaScript-Injektion und die zugehörige Infrastruktur (insbesondere intlspring.com) wurden auch mit der Verbreitung anderer Stealer in Verbindung gebracht, darunter Rhadamanthys Stealer.

GitHub-Missbrauch und falsche Sicherheitshinweise

Eine dritte Gruppe von TA585-Kampagnen missbrauchte die Benachrichtigungsmechanismen von GitHub: Der Akteur markierte GitHub-Benutzer in betrügerischen „Sicherheits“-Benachrichtigungen, die URLs enthielten, die die Opfer auf vom Akteur kontrollierte Websites weiterleiteten. Diese gefälschten GitHub-Warnungen waren ein weiterer Vektor, der dazu diente, Opfer in dieselbe ClickFix/PowerShell-Kette zu treiben.

CoreSecThree Framework – Das Liefer-Backbone

Die Aktivitätscluster „Web‑Inject“ und „Fake‑GitHub“ wurden mit CoreSecThree in Verbindung gebracht, einem Framework, das von Forschern als „ausgefeilt“ bezeichnet wird und seit Februar 2022 im Einsatz ist. CoreSecThree wurde konsequent verwendet, um Stealer-Malware über mehrere Kampagnen hinweg zu verbreiten.

MonsterV2 – Ursprünge und Varianten

MonsterV2 ist eine Mehrzweckbedrohung: ein Remote Access Trojaner (RAT), Stealer und Loader. Forscher entdeckten die Malware erstmals im Februar 2025 in kriminellen Foren. Sie wird auch als „Aurotun Stealer“ (eine falsche Schreibweise von „autorun“) bezeichnet und wurde zuvor über CastleLoader (auch bekannt als CastleBot) verbreitet. Frühere Iterationen der TA585-Aktivität verbreiteten Lumma Stealer, bevor Anfang 2025 MonsterV2 eingeführt wurde.

Kommerzielles Modell und Geofencing

MonsterV2 wird von einem russischsprachigen Anbieter verkauft. Die Preise sind auf kriminellen Marktplätzen zu finden: Die Standard Edition kostet 800 USD pro Monat, die Enterprise Edition 2.000 USD pro Monat. Die Enterprise-Version umfasst Stealer + Loader, Hidden VNC (HVNC) und Chrome DevTools Protocol (CDP). Die Stealer-Komponente ist so konfiguriert, dass sie eine Infektion der GUS-Staaten verhindert.

Packen, Anti-Analyse und Laufzeitverhalten

MonsterV2 ist typischerweise mit einem C++-Crypter namens SonicCrypt ausgestattet. SonicCrypt bietet mehrschichtige Anti-Analyse-Prüfungen vor dem Entschlüsseln und Laden der Nutzlast und ermöglicht so eine Umgehung der Erkennung. Zur Laufzeit entschlüsselt die Nutzlast, löst die benötigten Windows-API-Funktionen auf und versucht, die Berechtigungen zu erhöhen. Anschließend dekodiert es eine eingebettete Konfiguration, die es anweist, wie es sein Command-and-Control (C2) kontaktiert und welche Aktionen es ausführen soll.

Zu den von MonsterV2 verwendeten Konfigurationsflags gehören:

  • anti_dbg – wenn True, versucht die Malware, Debugger zu erkennen und zu umgehen.
  • anti_sandbox – wenn „True“, versucht die Malware, eine Sandbox zu erkennen und verwendet rudimentäre Anti-Sandbox-Techniken.
  • aurotun – wenn True, versucht die Malware, Persistenz herzustellen (der Rechtschreibfehler ist die Quelle des Namens „Aurotun“).
  • priviledge_escalation – wenn „True“, versucht die Malware, die Berechtigungen auf dem Host zu erhöhen.

Vernetzung und C2-Verhalten

Wenn MonsterV2 erfolgreich seinen C2-Server erreicht, sendet es zunächst grundlegende Systemtelemetrie- und Geolokalisierungsdaten, indem es einen öffentlichen Dienst abfragt (Forscher beobachteten Anfragen an api.ipify.org). Die C2-Antwort enthält die auszuführenden Befehle. Bei einigen beobachteten Operationen waren die von MonsterV2 abgelegten Nutzdaten so konfiguriert, dass sie denselben C2-Server wie andere Nutzdaten verwendeten (z. B. StealC), obwohl diese anderen Kampagnen nicht direkt TA585 zugeordnet wurden.

Die dokumentierten Fähigkeiten von MonsterV2 sind:

  • Stehlen Sie vertrauliche Daten und schleusen Sie sie auf den Server.
  • Führen Sie beliebige Befehle über cmd.exe oder PowerShell aus.
  • Beenden, unterbrechen oder setzen Sie Prozesse fort.
  • Stellen Sie HVNC-Verbindungen zum infizierten Host her.
  • Machen Sie Screenshots vom Desktop.
  • Führen Sie einen Keylogger aus.
  • Dateien aufzählen, bearbeiten, kopieren und exfiltrieren.
  • Fahren Sie das System herunter oder lassen Sie es abstürzen.
  • Laden Sie Payloads der nächsten Stufe herunter und führen Sie sie aus (beobachtete Beispiele: StealC und Remcos RAT).

    • Anleitung zur Schadensbegrenzung und Erkennung

    Verteidiger sollten TA585 als leistungsfähigen, vertikal integrierten Betreiber betrachten, der Social Engineering, Site-Compromise und mehrschichtige Anti-Analyse-Techniken kombiniert. Zu den Erkennungsmöglichkeiten gehören: Überwachung verdächtiger PowerShell-/Run-Dialogaktivitäten aus webbasierten Flows, Identifizierung anomaler JavaScript-Injektionen auf legitimen Websites, Blockierung bekannter, mit SonicCrypt gepackter Binärdateien durch Verhaltenserkennung und Kennzeichnung unerwarteter HVNC-/Remote-Control-Verbindungen und Dateiexfiltrationsmuster. Die Überwachung der Kommunikation mit ungewöhnlichen C2-Hosts und Abfragen an öffentliche IP-Discovery-Dienste (z. B. api.ipify.org) in Verbindung mit ausgehenden Datenübertragungen kann ebenfalls Infektionen aufdecken.

    Zusammenfassung

    TA585 ist ein robuster Bedrohungsakteur, der die Kontrolle über Verteilung, Auslieferung und Nutzlastbetrieb behält. Durch die Kombination von Phishing, JavaScript-Injektion auf Site-Ebene, gefälschten CAPTCHA-Overlays und der kommerziellen MonsterV2-Nutzlast (gepackt mit SonicCrypt) hat der Akteur eine zuverlässige, multivektorielle Fähigkeit für Datendiebstahl und Fernsteuerung aufgebaut. Angesichts der operativen Reife des Akteurs und des modularen Funktionsumfangs von MonsterV2 sollten Unternehmen die Erkennung von webbasierten Befehlsstarts, PowerShell-Download-Ausführungsketten, SonicCrypt-gepackten Binärdateien und verdächtigen HVNC- oder Exfiltrationsaktivitäten priorisieren.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...