Descarregador PEAKLIGHT

Els investigadors de ciberseguretat han descobert un comptegotes nou dissenyat per desplegar les etapes posteriors de programari maliciós, dirigint-se finalment als sistemes Windows amb robadors i carregadors d'informació.

Aquest comptagotes només de memòria desxifra i executa un descarregador basat en PowerShell, identificat com a PEAKLIGHT. Les varietats de programari maliciós distribuïts mitjançant aquest mètode inclouen Lumma Stealer , Hijack Loader (també conegut com DOILoader, IDAT Loader o SHADOWLADDER) i CryptBot , que s'ofereixen com a part d'un model de programari maliciós com a servei (MaaS).

Vector d'atac inicial i cadena d'atac

La cadena d'atac comença amb un fitxer de drecera de Windows (LNK) que es baixa mitjançant mètodes de descàrrega drive-by, com ara quan els usuaris cerquen pel·lícules en línia. Aquests fitxers LNK estan empaquetats en arxius ZIP disfressats de pel·lícules pirates.

Un cop descarregat, el fitxer LNK es connecta a una xarxa de lliurament de contingut (CDN) que allotja un comptador de JavaScript ofuscat i només de memòria. A continuació, aquest dropper executa l'script de descàrrega de PEAKLIGHT PowerShell a la màquina de la víctima, que, al seu torn, contacta amb un servidor d'ordres i control (C2) per recuperar més càrregues útils.

Els investigadors han observat diverses variacions de fitxers LNK, amb alguns que utilitzen asteriscs (*) com a comodins per invocar el binari legítim mshta.exe, permetent que el codi maliciós (és a dir, el dropper) s'executi discretament des d'un servidor remot.

PEAKLIGHT amaga la seva acció amenaçadora darrere de pel·lícules legítimes

De la mateixa manera, s'ha trobat que els droppers contenen càrregues útils de PowerShell amb codificació hexadecimal i Base64. Aquestes càrregues útils es desempaqueten per executar PEAKLIGHT, una eina dissenyada per desplegar programari maliciós posterior en un sistema infectat alhora que es descarrega un tràiler de pel·lícula legítim, probablement com un esquí.

PEAKLIGHT funciona com un descarregador ofuscat basat en PowerShell dins d'una cadena d'execució de diverses etapes. Cerca arxius ZIP en camins específics de fitxer codificats. Si no es troben aquests arxius, el descarregador contacta amb un lloc CDN per descarregar l'arxiu i desar-lo al disc.

Aquest no és el primer cas de programari maliciós dirigit als usuaris que cerquen pel·lícules pirates. A principis de juny de 2024, els investigadors van descobrir una cadena d'infecció sofisticada que va provocar el desplegament de Hijack Loader després d'un intent de descarregar un fitxer de vídeo des d'un lloc de descàrrega de pel·lícules.

Els descarregadors obren la porta a programari maliciós més especialitzat

El programari maliciós de descàrrega suposa diversos perills significatius tant per a persones com per a organitzacions:

• Compromís inicial : el programari maliciós de descàrrega és sovint la primera etapa d'un atac més gran. Un cop instal·lat, pot descarregar i instal·lar silenciosament càrregues útils malicioses addicionals, inclòs programari maliciós més avançat.
• Robatori de dades : les càrregues útils addicionals que ofereix el programari maliciós de descàrrega poden incloure robatoris d'informació que capturen dades privades, com ara credencials d'inici de sessió, informació financera i dades personals, la qual cosa comporta el robatori d'identitat i la pèrdua financera.
• Segrest del sistema : alguns programes maliciosos de descàrrega estan dissenyats per desplegar eines d'accés remot o portes posteriors, que permeten als atacants obtenir el control del sistema infectat. Això pot provocar un accés no autoritzat a les xarxes corporatives, incompliments de dades i un altre compromís del sistema.
• Desplegament de ransomware : es pot utilitzar programari maliciós de descàrrega per instal·lar ransomware, que pot xifrar els fitxers d'una víctima i exigir un pagament de rescat per alliberar-los. Això pot provocar una pèrdua important de dades i una interrupció operativa.
• Vulnerabilitat augmentada : un cop instal·lat, el programari maliciós de descàrrega pot debilitar les defenses del sistema i crear vulnerabilitats que altres tipus de programari maliciós poden explotar. Això facilita als atacants desplegar amenaces més perilloses o persistents.
• Propagació de la xarxa : el programari maliciós de descàrrega es pot estendre per xarxes, infectant altres dispositius i sistemes dins del mateix entorn. Això pot causar danys generalitzats i augmentar la complexitat dels esforços de reparació.
• Esgotament de recursos : el programari maliciós pot consumir recursos del sistema, com ara CPU i amplada de banda, provocant un rendiment degradat i possibles interrupcions del servei. Això pot afectar la productivitat i augmentar els costos operatius.
• Riscos legals i de compliment : les organitzacions infectades poden enfrontar-se a problemes legals i de compliment, especialment si la violació de dades implica informació sensible o regulada. Això pot comportar multes, accions legals i danys a la reputació.

En general, el programari maliciós de descàrrega és una amenaça greu pel seu paper a l'hora de facilitar més atacs i d'afectar la seguretat i la integritat dels sistemes i xarxes afectats.