A Proofpoint biztonsági kutatói részletesen feltárták a TA585 nevű fenyegető szereplő működését, aki a MonsterV2 nevű, komplex kártevőt terjeszti. Ez a malware többfunkciós eszköz: egyszerre működik adatlopóként, távoli vezérlésű trójaiként (RAT) és kártevőterjesztőként (loader). A TA585 különös figyelmet érdemel, mert teljesen önállóan végzi a támadásokat – saját infrastruktúrát és terjesztési módszereket használ, nem támaszkodik külső hozzáférés-kereskedőkre vagy forgalom-átirányító szolgáltatásokra.
A támadások főként adathalász e-maileken keresztül zajlanak, gyakran az amerikai adóhatóság (IRS) nevében. Ezek az üzenetek PDF fájlokat vagy linkeket tartalmaznak, amelyek egy social engineeringen alapuló „ClickFix” rendszerre irányítják az áldozatokat. A fertőzés PowerShell szkriptek futtatásán keresztül történik, melyek végül telepítik a MonsterV2-t. A kampányok során rosszindulatú JavaScript-injekciókat, valamint megtévesztő GitHub biztonsági értesítéseknek álcázott üzeneteket is használnak annak érdekében, hogy a felhasználókat csaló weboldalakra tereljék.
A MonsterV2 képességei közé tartozik az érzékeny adatok ellopása, vágólap-módosítás (pl. kripto-címek átírása), billentyű leütések naplózása, képernyőképek készítése, rejtett távoli asztali vezérlés (HVNC), valamint további kártevők, mint a StealC vagy Remcos RAT letöltése és futtatása. A szoftver anti-analízis és sandbox-elhárító technikákat is alkalmaz, és képes elkerülni a detekciót különféle crypterek, például a SonicCrypt segítségével.
A MonsterV2 licencelt termékként jelenik meg az illegális fórumokon, ahol a „Standard” verzió havi 800 dollárba, míg az „Enterprise” változat – bővített funkcionalitással – havi 2000 dollárba kerül. A malware nem fertőzi a Commonwealth of Independent States – Független Államok Közösségéhez (CIS) tartozó országokat, ami tipikus jellemző az oroszországhoz köthető fenyegető szereplőknél.
Összességében a TA585 által használt MonsterV2 egy fejlett, professzionálisan fejlesztett kártevő, amely rugalmas terjesztési stratégiáival és széles funkcionalitásával komoly veszélyt jelent a vállalati és magánszféra IT-biztonságára egyaránt.