Πρόγραμμα λήψης PEAKLIGHT

Οι ερευνητές της κυβερνοασφάλειας ανακάλυψαν ένα νέο dropper σχεδιασμένο για την ανάπτυξη επακόλουθων σταδίων κακόβουλου λογισμικού, στοχεύοντας τελικά τα συστήματα Windows με κλέφτες και φορτωτές πληροφοριών.

Αυτό το σταγονόμετρο μόνο για μνήμη αποκρυπτογραφεί και εκτελεί ένα πρόγραμμα λήψης που βασίζεται σε PowerShell, το οποίο προσδιορίζεται ως PEAKLIGHT. Τα στελέχη κακόβουλου λογισμικού που διανέμονται μέσω αυτής της μεθόδου περιλαμβάνουν το Lumma Stealer , το Hijack Loader (γνωστό και ως DOILoader, IDAT Loader ή SHADOWLADDER) και το CryptBot , τα οποία προσφέρονται όλα ως μέρος ενός μοντέλου malware-as-a-service (MaaS).

Initial Attack Vector και Attack Chain

Η αλυσίδα επίθεσης ξεκινά με ένα αρχείο συντόμευσης των Windows (LNK) που γίνεται λήψη μέσω μεθόδων λήψης οδηγού-από, όπως όταν οι χρήστες αναζητούν ταινίες στο διαδίκτυο. Αυτά τα αρχεία LNK συσκευάζονται σε αρχεία ZIP μεταμφιεσμένα σε πειρατικές ταινίες.

Μόλις γίνει λήψη, το αρχείο LNK συνδέεται σε ένα Δίκτυο Παράδοσης Περιεχομένου (CDN) που φιλοξενεί ένα ασαφή, σταγονόμετρο JavaScript μόνο για μνήμη. Αυτό το σταγονόμετρο εκτελεί στη συνέχεια το σενάριο λήψης PEAKLIGHT PowerShell στον υπολογιστή του θύματος, το οποίο, με τη σειρά του, έρχεται σε επαφή με έναν διακομιστή Command-and-Control (C2) για να ανακτήσει περαιτέρω ωφέλιμα φορτία.

Οι ερευνητές παρατήρησαν διάφορες παραλλαγές αρχείων LNK, με μερικούς να χρησιμοποιούν αστερίσκους (*) ως χαρακτήρες μπαλαντέρ για να καλέσουν το νόμιμο δυαδικό αρχείο mshta.exe, επιτρέποντας στον κακόβουλο κώδικα (δηλ. το dropper) να εκτελεστεί διακριτικά από έναν απομακρυσμένο διακομιστή.

Το PEAKLIGHT κρύβει την απειλητική του δράση πίσω από τις νόμιμες ταινίες

Ομοίως, τα droppers έχουν βρεθεί ότι περιέχουν ωφέλιμα φορτία PowerShell με κωδικοποίηση εξαγωνικής και Base64. Αυτά τα ωφέλιμα φορτία αποσυσκευάζονται για να τρέξουν το PEAKLIGHT, ένα εργαλείο που έχει σχεδιαστεί για την ανάπτυξη επακόλουθου κακόβουλου λογισμικού σε ένα μολυσμένο σύστημα, ενώ παράλληλα κατεβάζει ένα νόμιμο τρέιλερ ταινίας, πιθανότατα ως δόλωμα.

Το PEAKLIGHT λειτουργεί ως ένα συγκεχυμένο πρόγραμμα λήψης που βασίζεται στο PowerShell μέσα σε μια αλυσίδα εκτέλεσης πολλαπλών σταδίων. Αναζητά αρχεία ZIP σε συγκεκριμένες διαδρομές αρχείων με σκληρό κώδικα. Εάν αυτά τα αρχεία δεν βρεθούν, το πρόγραμμα λήψης επικοινωνεί με μια τοποθεσία CDN για λήψη του αρχείου αρχειοθέτησης και αποθήκευση στο δίσκο.

Αυτή δεν είναι η πρώτη περίπτωση κακόβουλου λογισμικού που στοχεύει χρήστες που αναζητούν πειρατικές ταινίες. Στις αρχές Ιουνίου 2024, οι ερευνητές αποκάλυψαν μια εξελιγμένη αλυσίδα μόλυνσης που είχε ως αποτέλεσμα την ανάπτυξη του Hijack Loader μετά από μια προσπάθεια λήψης ενός αρχείου βίντεο από μια τοποθεσία λήψης ταινίας.

Τα προγράμματα λήψης ανοίγουν την πόρτα για πιο εξειδικευμένο κακόβουλο λογισμικό

Το κακόβουλο λογισμικό λήψης ενέχει πολλούς σημαντικούς κινδύνους τόσο για άτομα όσο και για οργανισμούς:

• Αρχικός συμβιβασμός : Το κακόβουλο λογισμικό λήψης είναι συχνά το πρώτο στάδιο μιας μεγαλύτερης επίθεσης. Μόλις εγκατασταθεί, μπορεί να κατεβάσει και να εγκαταστήσει αθόρυβα επιπλέον κακόβουλα ωφέλιμα φορτία, συμπεριλαμβανομένων πιο προηγμένων κακόβουλων προγραμμάτων.
• Κλοπή δεδομένων : Τα πρόσθετα ωφέλιμα φορτία που παραδίδονται από κακόβουλο λογισμικό λήψης μπορεί να περιλαμβάνουν κλέφτες πληροφοριών που καταγράφουν ιδιωτικά δεδομένα, όπως διαπιστευτήρια σύνδεσης, οικονομικές πληροφορίες και προσωπικά στοιχεία, οδηγώντας σε κλοπή ταυτότητας και οικονομική απώλεια.
• Σύστημα Hijacking : Κάποιο κακόβουλο λογισμικό λήψης έχει σχεδιαστεί για να αναπτύσσει εργαλεία απομακρυσμένης πρόσβασης ή backdoors, επιτρέποντας στους εισβολείς να αποκτήσουν τον έλεγχο του μολυσμένου συστήματος. Αυτό μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε εταιρικά δίκτυα, παραβιάσεις δεδομένων και περαιτέρω παραβίαση του συστήματος.
• Ανάπτυξη Ransomware : Το κακόβουλο λογισμικό λήψης μπορεί να χρησιμοποιηθεί για την εγκατάσταση ransomware, το οποίο μπορεί να κρυπτογραφήσει τα αρχεία ενός θύματος και να απαιτήσει πληρωμή λύτρων για την απελευθέρωσή του. Αυτό μπορεί να οδηγήσει σε σημαντική απώλεια δεδομένων και λειτουργική διακοπή.
• Αυξημένη ευπάθεια : Μόλις εγκατασταθεί, το κακόβουλο λογισμικό λήψης μπορεί να αποδυναμώσει την άμυνα του συστήματος και να δημιουργήσει ευπάθειες που άλλοι τύποι κακόβουλου λογισμικού μπορούν να εκμεταλλευτούν. Αυτό διευκολύνει τους επιτιθέμενους να αναπτύξουν πιο επικίνδυνες ή επίμονες απειλές.
• Διάδοση δικτύου : Το κακόβουλο λογισμικό λήψης μπορεί να εξαπλωθεί σε δίκτυα, μολύνοντας άλλες συσκευές και συστήματα στο ίδιο περιβάλλον. Αυτό μπορεί να προκαλέσει εκτεταμένες ζημιές και να αυξήσει την πολυπλοκότητα των προσπαθειών αποκατάστασης.
• Εξάντληση πόρων : Το κακόβουλο λογισμικό μπορεί να καταναλώσει πόρους του συστήματος, όπως η CPU και το εύρος ζώνης, οδηγώντας σε υποβαθμισμένη απόδοση και πιθανές διακοπές λειτουργίας της υπηρεσίας. Αυτό μπορεί να επηρεάσει την παραγωγικότητα και να αυξήσει το λειτουργικό κόστος.
• Νομικοί κίνδυνοι και κίνδυνοι συμμόρφωσης : Οι μολυσμένοι οργανισμοί ενδέχεται να αντιμετωπίσουν νομικά ζητήματα και ζητήματα συμμόρφωσης, ειδικά εάν η παραβίαση δεδομένων περιλαμβάνει ευαίσθητες ή ρυθμιζόμενες πληροφορίες. Αυτό μπορεί να οδηγήσει σε πρόστιμα, νομικές ενέργειες και ζημιά στη φήμη.

Συνολικά, το κακόβουλο λογισμικό λήψης αποτελεί σοβαρή απειλή λόγω του ρόλου του στη διευκόλυνση περαιτέρω επιθέσεων και επηρεάζοντας την ασφάλεια και την ακεραιότητα των επηρεαζόμενων συστημάτων και δικτύων.