یک عامل تهدید جدید به نام TA585 شناسایی شده که از طریق کمپینهای فیشینگ در حال توزیع بدافزار MonsterV2 (یا Aurotun Stealer ) است.
تیم تحقیقات تهدیدات Proofpoint، گروه فعالیت تهدید را پیچیده توصیف کرد که از تزریق وب و بررسیهای فیلترینگ به عنوان بخشی از زنجیرههای حمله خود استفاده میکند. TA585 از آنجا که کل زنجیره حمله خود را با تکنیکهای تحویل چندگانه در اختیار دارد، قابل توجه است. به جای استفاده از سایر عوامل تهدید – مانند پرداخت هزینه برای توزیع، خرید دسترسی از کارگزاران دسترسی اولیه یا استفاده از سیستم تحویل ترافیک شخص ثالث – TA585 زیرساخت، تحویل و نصب بدافزار خود را مدیریت میکند. MonsterV2 تروجان دسترسی از راه دور (RAT)، سارق اطلاعات و لودر است که Proofpoint اولین بار آن را در فوریه 2025 مشاهده کرده و قبلاً از طریق CastleLoader (معروف به CastleBot) توزیع شده است . کارزارهای فیشینگ توزیعکننده این بدافزار با استفاده از فریبهای مربوط به سازمان درآمد داخلی ایالات متحده (IRS) مشاهده شدهاند تا کاربران را به کلیک بر روی URLهای جعلی که به یک PDF هدایت میشوند، ترغیب کنند. PDF به نوبه خود، به یک صفحه وب با استفاده از تاکتیک مهندسی اجتماعی ClickFix پیوند میدهد تا با اجرای یک دستور مخرب در پنجره Run ویندوز یا ترمینال پاورشل، آلودگی را فعال کند.
دستور پاورشل برای اجرای یک اسکریپت پاورشل مرحله بعدی طراحی شده است که MonsterV2 را مستقر میکند. موجهای حمله بعدی که در آوریل ۲۰۲۵ شناسایی شدند، به تزریقهای مخرب جاوا اسکریپت در وبسایتهای قانونی که پوششهای تأیید جعلی CAPTCHA را برای شروع حمله از طریق ClickFix ارائه میدهند، متوسل شدهاند و در نهایت منجر به تحویل بدافزار از طریق یک دستور پاورشل شدهاند. به طور کلی MonsterV2 بدافزار کاملی است که قادر به سرقت دادههای حساس، با جایگزینی آدرسهای رمز ارز در کلیپبورد سیستمهای آلوده با آدرسهای کیف پول ارائه شده توسط عامل تهدید، عمل کردن به عنوان یک کلیپر، برقراری کنترل از راه دور با استفاده از رایانش شبکه مجازی مخفی (HVNC)، دریافت و اجرا ی دستورات از سرور خارجی و دانلود پیلودهای اضافی است. یکی از جنبههای قابل توجه این بدافزار سرقت اطلاعات این است که از آلودهسازی کشورهای مشترکالمنافع کشورهای مستقل (CIS) جلوگیری میکند. MonsterV2 معمولاً با استفاده از رمزگذار ++C به نام SonicCrypt بستهبندی میشود و در نتیجه به آن اجازه میدهد تا با اجرای یک سری بررسیهای ضدتحلیل قبل از رمزگشایی و بارگذاری پیلود داده، از شناسایی شدن فرار کند.
https://www.proofpoint.com/us/blog/threat-insight/when-monster-bytes-tracking-ta585-and-its-arsenal
https://thehackernews.com/2025/10/researchers-expose-ta585s-monsterv2.html
