Pelaku ancaman di balik malware More_eggs telah dikaitkan dengan dua keluarga malware baru, yang menunjukkan perluasan operasi malware-as-a-service (MaaS).
Hal ini mencakup backdoor pencuri informasi baru yang disebut RevC2 dan loader dengan nama kode Venom Loader, keduanya dikerahkan menggunakan VenomLNK, sebuah alat pokok yang berfungsi sebagai vektor akses awal untuk penerapan muatan lanjutan.
“RevC2 menggunakan WebSockets untuk berkomunikasi dengan server perintah dan kontrol (C2). Malware ini mampu mencuri cookie dan kata sandi, memproksi lalu lintas jaringan, dan mengaktifkan eksekusi kode jarak jauh (RCE),” kata peneliti Zscaler ThreatLabz, Muhammed Irfan VA.
“Venom Loader adalah pemuat malware baru yang disesuaikan untuk setiap korban, menggunakan nama komputer korban untuk menyandikan muatannya.”
Kedua keluarga malware tersebut telah didistribusikan sebagai bagian dari kampanye yang dilakukan oleh perusahaan keamanan siber tersebut antara Agustus dan Oktober 2024. Pelaku ancaman di balik penawaran kejahatan elektronik ini dilacak sebagai Venom Spider (alias Golden Chickens).
Mekanisme distribusi pastinya saat ini tidak diketahui, tetapi titik awal dari salah satu kampanyenya adalah VenomLNK, yang selain menampilkan gambar umpan PNG, juga mengeksekusi RevC2. Backdoor dilengkapi untuk mencuri password dan cookie dari browser Chromium, menjalankan perintah shell, mengambil screenshot, mem-proxy lalu lintas menggunakan SOCKS5, dan menjalankan perintah sebagai pengguna berbeda.
Kampanye kedua juga dimulai dengan VenomLNK yang menghadirkan gambar iming-iming, sekaligus mengeksekusi Venom Loader secara diam-diam. Pemuat bertanggung jawab untuk meluncurkan More_eggs lite, varian ringan dari pintu belakang JavaScript yang hanya menyediakan kemampuan RCE.
Temuan baru ini merupakan tanda bahwa pembuat malware terus menyegarkan dan menyempurnakan perangkat kustom mereka dengan malware baru meskipun terdapat fakta bahwa dua individu dari Kanada dan Rumania diketahui menjalankan platform MaaS pada tahun lalu.
Pengungkapan ini terjadi ketika ANY.RUN merinci malware pemuat tanpa file yang sebelumnya tidak terdokumentasikan yang dijuluki PSLoramyra, yang telah digunakan untuk mengirimkan malware Quasar RAT sumber terbuka.
“Malware tingkat lanjut ini memanfaatkan skrip PowerShell, VBS, dan BAT untuk menyuntikkan muatan berbahaya ke dalam sistem, mengeksekusinya secara langsung di memori, dan membangun akses persisten,” katanya.
