Campo Loader

Campo Loader (eller NLoader) er en malware-trussel, der udnyttes i angrebskampagner mod japanske enheder. Campo Loader fungerer som en tidlig trussel designet til at levere de virkelige malware-nyttelast på de allerede kompromitterede computere. Campo Loader er blevet observeret at tabe flere forskellige nyttelast afhængigt af den specifikke trusselsaktør og deres særlige mål. Navnet på truslen var baseret på en sti indeholdende '/ campo /', der bruges under kommunikationen med Command-and-Control (C2, C&C) serveren.

Efter at være udført er Campo Loaders første opgave at oprette en mappe med et hårdt kodet navn. Det næste trin er at forsøge at nå C2-serveren. Til dette formål sender truslen en streng 'ping' via POST og venter på indgående svar. Openfield-serveren returnerer en URL som et svar, men inden Campo Loader fortsætter med sine truende aktiviteter, kontrollerer den, om meddelelsen fra C2-serverne starter med et 'h'. Hvis den ikke gør det, afslutter malware processen.

Ellers transmitteres en anden 'ping'-besked til den angivne URL igen ved hjælp af POST-metoden. Dette fører til, at en anden nyttelast hentes af Campo Loader og gemmes som en fil på det kompromitterede system. Filens navn er igen hårdkodet i truslen. Derefter misbruges rundll32.exe til at kalde en funktion ved navn 'DF' i DLL-filen, der blev downloadet.

I tidligere versioner af angrebskampagnerne blev Campo Loader distribueret i form af en .exe-fil, der kunne downloades og udføres. Den udførte også den næste fasen nyttelast som Ursnif og Zloader direkte. De nyere variationer foretrækker dog at bruge DLL-versioner, mens den leverede nyttelast er skiftet til DFDownloader.