PEAKLIGHT Downloader

Изследователите на киберсигурността са открили нов капкомер, предназначен да внедри последващи етапи на зловреден софтуер, като в крайна сметка е насочен към Windows системи с крадци на информация и зареждащи устройства.

Този капкомер само за памет декриптира и стартира програма за изтегляне, базирана на PowerShell, идентифицирана като PEAKLIGHT. Разновидностите на злонамерен софтуер, разпространявани чрез този метод, включват Lumma Stealer , Hijack Loader (известен също като DOILoader, IDAT Loader или SHADOWLADDER) и CryptBot , всички от които се предлагат като част от модела malware-as-a-service (MaaS).

Първоначален вектор на атака и верига на атака

Веригата на атаката започва с файл с пряк път на Windows (LNK), който се изтегля чрез методи за изтегляне от устройството, като например когато потребителите търсят филми онлайн. Тези LNK файлове са пакетирани в ZIP архиви, маскирани като пиратски филми.

Веднъж изтеглен, LNK файлът се свързва с мрежа за доставка на съдържание (CDN), която хоства обфусциран JavaScript капкомер само за памет. Този капкомер след това изпълнява скрипта за изтегляне на PEAKLIGHT PowerShell на машината на жертвата, която от своя страна се свързва със сървър за командване и управление (C2), за да извлече допълнителни полезни натоварвания.

Изследователите са наблюдавали различни вариации на LNK файлове, като някои използват звездички (*) като заместващи знаци за извикване на легитимния двоичен файл mshta.exe, което позволява на злонамерения код (т.е. капкомер) да бъде дискретно изпълнен от отдалечен сървър.

PEAKLIGHT крие своето заплашително действие зад легитимни филми

По подобен начин е установено, че капките съдържат както шестнадесетично кодирани, така и кодирани Base64 полезни натоварвания на PowerShell. Тези полезни товари се разопаковат, за да стартират PEAKLIGHT, инструмент, предназначен да разположи последващ зловреден софтуер на заразена система, като същевременно изтегли легитимен трейлър на филм, вероятно като примамка.

PEAKLIGHT функционира като обфусцирана програма за изтегляне, базирана на PowerShell, в рамките на многоетапна верига за изпълнение. Той търси ZIP архиви в специфични твърдо кодирани файлови пътища. Ако тези архиви не бъдат намерени, програмата за изтегляне се свързва с CDN сайт, за да изтегли архивния файл и да го запише на диска.

Това не е първият случай на зловреден софтуер, насочен към потребители, търсещи пиратски филми. В началото на юни 2024 г. изследователите разкриха сложна верига за заразяване, която доведе до внедряването на Hijack Loader след опит за изтегляне на видео файл от сайт за изтегляне на филми.

Изтеглящите отварят вратата за по-специализиран зловреден софтуер

Злонамереният софтуер за изтегляне представлява няколко значителни опасности както за хората, така и за организациите:

• Първоначално компрометиране : Зловреден софтуер за изтегляне често е първият етап от по-голяма атака. Веднъж инсталиран, той може безшумно да изтегля и инсталира допълнителни злонамерени полезни товари, включително по-усъвършенстван зловреден софтуер.
• Кражба на данни : Допълнителните полезни товари, доставяни от зловреден софтуер за изтегляне, могат да включват крадци на информация, които улавят лични данни, като идентификационни данни за вход, финансова информация и лични данни, което води до кражба на самоличност и финансова загуба.
• Отвличане на системата : Някои злонамерени програми за изтегляне са предназначени за внедряване на инструменти за отдалечен достъп или задни вратички, позволяващи на атакуващите да получат контрол над заразената система. Това може да доведе до неоторизиран достъп до корпоративни мрежи, пробиви на данни и допълнителен компромет на системата.
• Внедряване на рансъмуер : Зловреден софтуер за изтегляне може да се използва за инсталиране на рансъмуер, който може да криптира файловете на жертвата и да изисква плащане на откуп за освобождаването им. Това може да доведе до значителна загуба на данни и прекъсване на работата.
• Повишена уязвимост : Веднъж инсталиран, зловреден софтуер за изтегляне може да отслаби защитата на системата и да създаде уязвимости, които други видове зловреден софтуер могат да използват. Това улеснява атакуващите да разположат по-опасни или постоянни заплахи.
• Мрежово разпространение : Зловреден софтуер за изтегляне може да се разпространи в мрежите, заразявайки други устройства и системи в същата среда. Това може да причини широко разпространени щети и да увеличи сложността на усилията за възстановяване.
• Източване на ресурси : Злонамереният софтуер може да консумира системни ресурси като процесор и честотна лента, което води до влошена производителност и потенциални прекъсвания на услугата. Това може да повлияе на производителността и да увеличи оперативните разходи.
• Правни рискове и рискове за съответствие : Заразените организации могат да се сблъскат с правни проблеми и проблеми със съответствието, особено ако нарушението на данните включва чувствителна или регулирана информация. Това може да доведе до глоби, правни действия и увреждане на репутацията.

Като цяло злонамереният софтуер за изтегляне е сериозна заплаха поради ролята си в улесняването на по-нататъшни атаки и засягането на сигурността и целостта на засегнатите системи и мрежи.