SnatchLoader

SnatchLoader er kendt som en downloader-malware - den er ansvarlig for at levere yderligere malware-trusler på en maskine, som den allerede har formået at kompromittere. Udviklingen af SnatchLoader har set en periode med lav aktivitet, men truslen er blevet observeret som en del af aktive angrebskampagner som at levere bank Trojan Ramnit. Selvom det ikke er unikt, er et underligt kendetegn ved denne downloader-malware, der er udstyret med 'geo-blocking.' I praksis resulterer dette i, at malware udføres i nogle lande, mens det i andre simpelthen afslutter sig selv. Forskerne, der analyserede en prøve af SnatchLoader, fastslog, at Storbritannien og Italien var blandt de levedygtige mål, mens brugere i Frankrig, USA og Hong Kong var sikre.

For at udføre Windows API-opkald bruger SnatchLoader et funktionsnavns hashing under kørselstid. Hvad angår håndtering af kommunikationen med sin Command-and-Control (C2, C&C) infrastruktur, bruger den HTTPS. Fire forskellige anmodningstyper blev isoleret af infosec-forskere.

For det første fremsætter SnatchLoader en 'get dynamisk konfigurations'-anmodning efterfulgt af en' send systeminformation 'anmodning. I dette trin sender malware forskellige systemdata til hackernes server. Blandt de exfiltrerede data er detaljer såsom Windows-versioner, arkitektur, brugernavn, computernavn, brugeragent, liste over processer osv.
For at kontrollere, om der er kommandoer fra hackerne, fremsætter SnatchLoader en 'kommandoundersøgelse' anmodning. På grund af sin natur som en loader er kommandoerne primært til forskellige måder at downloade og udføre yderligere malware-moduler - udført normalt, injiceret i explorer.exe eller udført via rundll32. Forskerne observerede også en plugin-funktionalitet fra SnatchLoader til en Monero crypto-mining-trussel. Den sidste anmodning til C2 bruges til at sende resultaterne af udførelsen af en bestemt kommando.