Multi-License Discount Quote
Trusseldatabase Malware PEAKLIGHT Downloader

PEAKLIGHT Downloader

Med Mezo i Malware
Oversæt til:
Dansk

Cybersikkerhedsforskere har opdaget en ny dropper designet til at implementere efterfølgende malware-stadier og i sidste ende målrette Windows-systemer med informationstyve og indlæsere.

Denne dropper, der kun indeholder hukommelse, dekrypterer og kører en PowerShell-baseret downloader, identificeret som PEAKLIGHT. De malware-stammer, der distribueres gennem denne metode, omfatter Lumma Stealer , Hijack Loader (også kendt som DOILoader, IDAT Loader eller SHADOWLADDER) og CryptBot , som alle tilbydes som en del af en malware-as-a-service (MaaS) model.

Indledende angrebsvektor og angrebskæde

Angrebskæden begynder med en Windows-genvejsfil (LNK), der downloades via drive-by-downloadmetoder, såsom når brugere søger efter film online. Disse LNK-filer er pakket i ZIP-arkiver forklædt som piratkopierede film.

Når først LNK-filen er downloadet, forbindes den til et Content Delivery Network (CDN), der er vært for en sløret JavaScript-dropper, der kun indeholder hukommelse. Denne dropper udfører derefter PEAKLIGHT PowerShell-downloader-scriptet på offerets maskine, som igen kontakter en Command-and-Control-server (C2) for at hente yderligere nyttelast.

Forskere har observeret forskellige LNK-filvariationer, hvor nogle bruger stjerner (*) som jokertegn for at påkalde den legitime mshta.exe-binære, hvilket gør det muligt for den ondsindede kode (dvs. dropperen) at blive diskret eksekveret fra en fjernserver.

PEAKLIGHT skjuler sin truende handling bag legitime film

På samme måde har dropperne vist sig at indeholde både hex-kodede og Base64-kodede PowerShell-nyttelast. Disse nyttelaster pakkes ud for at køre PEAKLIGHT, et værktøj designet til at implementere efterfølgende malware på et inficeret system og samtidig downloade en legitim filmtrailer, sandsynligvis som et lokkemiddel.

PEAKLIGHT fungerer som en sløret PowerShell-baseret downloader i en flertrins eksekveringskæde. Den søger efter ZIP-arkiver i specifikke hårdkodede filstier. Hvis disse arkiver ikke findes, kontakter downloaderen et CDN-sted for at downloade arkivfilen og gemme den på disken.

Dette er ikke det første tilfælde af malware rettet mod brugere, der søger efter piratkopierede film. I begyndelsen af juni 2024 afslørede forskere en sofistikeret infektionskæde, der resulterede i udrulningen af Hijack Loader efter et forsøg på at downloade en videofil fra et filmdownloadwebsted.

Downloadere åbner døren for mere specialiseret malware

Downloader malware udgør flere væsentlige farer for både enkeltpersoner og organisationer:

  • Indledende kompromis : Downloader malware er ofte det første trin i et større angreb. Når det først er installeret, kan det lydløst downloade og installere yderligere ondsindede nyttelaster, herunder mere avanceret malware.
  • Datatyveri : De ekstra nyttelaster, der leveres af downloader-malware, kan omfatte informationstyve, der fanger private data, såsom loginoplysninger, økonomiske oplysninger og personlige oplysninger, hvilket fører til identitetstyveri og økonomisk tab.
  • Systemkapring : Nogle downloader-malware er designet til at implementere fjernadgangsværktøjer eller bagdøre, hvilket giver angribere mulighed for at få kontrol over det inficerede system. Dette kan føre til uautoriseret adgang til virksomhedens netværk, databrud og yderligere systemkompromis.
  • Ransomware-implementering : Downloader malware kan bruges til at installere ransomware, som kan kryptere et offers filer og kræve en løsesum for deres frigivelse. Dette kan resultere i betydeligt datatab og driftsforstyrrelser.
  • Øget sårbarhed : Når den først er installeret, kan downloader-malware svække systemforsvaret og skabe sårbarheder, som andre typer malware kan udnytte. Dette gør det lettere for angribere at implementere mere farlige eller vedvarende trusler.
  • Netværksudbredelse : Downloader-malware kan spredes på tværs af netværk og inficere andre enheder og systemer i det samme miljø. Dette kan forårsage omfattende skader og øge kompleksiteten af udbedringsindsatsen.
  • Ressourcedræning : Malwaren kan forbruge systemressourcer såsom CPU og båndbredde, hvilket fører til forringet ydeevne og potentielle serviceafbrydelser. Dette kan påvirke produktiviteten og øge driftsomkostningerne.
  • Juridiske risici og overholdelsesrisici : Inficerede organisationer kan stå over for juridiske og overholdelsesproblemer, især hvis databruddet involverer følsomme eller regulerede oplysninger. Dette kan resultere i bøder, retssager og skade på omdømme.

Samlet set er downloader-malware en alvorlig trussel på grund af dens rolle i at lette yderligere angreb og påvirke sikkerheden og integriteten af de berørte systemer og netværk.

Trending

Mest sete

Indlæser...