دانلودر PEAKLIGHT

محققان امنیت سایبری یک قطره چکان جدید را کشف کرده‌اند که برای استقرار مراحل بعدی بدافزار طراحی شده است و در نهایت سیستم‌های ویندوز را با دزدها و لودرهای اطلاعات هدف قرار می‌دهد.

این قطره چکان فقط حافظه را رمزگشایی می کند و یک دانلود کننده مبتنی بر PowerShell را که با نام PEAKLIGHT شناخته می شود، اجرا می کند. گونه های بدافزار توزیع شده از طریق این روش شامل Lumma Stealer ، Hijack Loader (همچنین به عنوان DOILoader، IDAT Loader، یا SHADOWLADDER نیز شناخته می شود)، و CryptBot هستند که همگی به عنوان بخشی از یک مدل بدافزار به عنوان یک سرویس (MaaS) ارائه می شوند.

بردار حمله اولیه و زنجیره حمله

زنجیره حمله با یک فایل میانبر ویندوز (LNK) شروع می‌شود که از طریق روش‌های دانلود درایو به وسیله دانلود، مانند زمانی که کاربران فیلم‌ها را به صورت آنلاین جستجو می‌کنند، دانلود می‌شود. این فایل‌های LNK در بایگانی‌های ZIP بسته‌بندی شده‌اند که به‌عنوان فیلم‌های دزدی پنهان شده‌اند.

پس از دانلود، فایل LNK به یک شبکه تحویل محتوا (CDN) متصل می‌شود که میزبان یک قطره‌انداز جاوا اسکریپت فقط با حافظه مبهم است. سپس این قطره چکان اسکریپت دانلود کننده PEAKLIGHT PowerShell را بر روی دستگاه قربانی اجرا می کند، که به نوبه خود با یک سرور Command-and-Control (C2) تماس می گیرد تا بارهای بیشتری را بازیابی کند.

محققان تنوع فایل‌های LNK مختلفی را مشاهده کرده‌اند که برخی از آنها از ستاره (*) به‌عنوان علامت‌های عام برای فراخوانی باینری قانونی mshta.exe استفاده می‌کنند که به کد مخرب (یعنی قطره‌کن) اجازه می‌دهد تا به‌طور مخفیانه از یک سرور راه دور اجرا شود.

PEAKLIGHT اقدام تهدیدآمیز خود را در پشت فیلم های قانونی پنهان می کند

به طور مشابه، قطره چکان ها حاوی محموله های PowerShell با کد هگزا و Base64 هستند. این محموله‌ها برای اجرای PEAKLIGHT، ابزاری که برای استقرار بدافزارهای بعدی بر روی یک سیستم آلوده طراحی شده و در عین حال یک تریلر فیلم قانونی را نیز دانلود می‌کند، طراحی شده است.

PEAKLIGHT به عنوان یک دانلود کننده مبهم مبتنی بر PowerShell در یک زنجیره اجرای چند مرحله ای عمل می کند. آرشیوهای ZIP را در مسیرهای فایل سخت کدگذاری شده خاص جستجو می کند. اگر این بایگانی ها پیدا نشد، دانلود کننده با یک سایت CDN تماس می گیرد تا فایل بایگانی را دانلود کرده و در دیسک ذخیره کند.

این اولین مورد بدافزاری نیست که کاربرانی را که در جستجوی فیلم های دزدی دریایی هستند هدف قرار می دهد. در اوایل ژوئن 2024، محققان یک زنجیره عفونت پیچیده را کشف کردند که منجر به استقرار Hijack Loader پس از تلاش برای دانلود یک فایل ویدیویی از یک سایت دانلود فیلم شد.

دانلودکنندگان در را برای بدافزارهای تخصصی تر باز می کنند

بدافزار دانلود کننده چندین خطر مهم برای افراد و سازمان ها ایجاد می کند:

• مصالحه اولیه : بدافزار دانلود کننده اغلب اولین مرحله از یک حمله بزرگتر است. پس از نصب، می‌تواند بی‌صدا بارهای مخرب اضافی، از جمله بدافزارهای پیشرفته‌تر را دانلود و نصب کند.
• سرقت داده : محموله‌های اضافی تحویل‌شده توسط بدافزار دانلودکننده می‌تواند شامل دزدان اطلاعاتی باشد که داده‌های خصوصی مانند اعتبارنامه ورود، اطلاعات مالی و جزئیات شخصی را ضبط می‌کنند که منجر به سرقت هویت و ضرر مالی می‌شود.
• ربودن سیستم : برخی از بدافزارهای دانلود کننده برای استقرار ابزارهای دسترسی از راه دور یا درهای پشتی طراحی شده اند که به مهاجمان اجازه می دهد تا کنترل سیستم آلوده را به دست آورند. این می تواند منجر به دسترسی غیرمجاز به شبکه های شرکتی، نقض داده ها و به خطر افتادن بیشتر سیستم شود.
• استقرار باج‌افزار : ممکن است از بدافزار دانلودکننده برای نصب باج‌افزار استفاده شود، که می‌تواند فایل‌های قربانی را رمزگذاری کرده و برای انتشار آنها باج بخواهد. این می تواند منجر به از دست رفتن داده ها و اختلال در عملیات شود.
• افزایش آسیب پذیری : پس از نصب، بدافزار دانلود کننده می تواند دفاع سیستم را تضعیف کند و آسیب پذیری هایی ایجاد کند که انواع دیگر بدافزارها می توانند از آنها سوء استفاده کنند. این باعث می شود مهاجمان به راحتی تهدیدات خطرناک یا پایدارتری را به کار گیرند.
• انتشار شبکه : بدافزار دانلود کننده می تواند در سراسر شبکه پخش شود و دستگاه ها و سیستم های دیگر را در همان محیط آلوده کند. این می تواند باعث آسیب گسترده شود و پیچیدگی تلاش های اصلاحی را افزایش دهد.
• تخلیه منابع : بدافزار می‌تواند منابع سیستم مانند CPU و پهنای باند را مصرف کند و منجر به کاهش عملکرد و قطع سرویس‌های احتمالی شود. این می تواند بر بهره وری و افزایش هزینه های عملیاتی تاثیر بگذارد.
• خطرات قانونی و انطباق : سازمان های آلوده ممکن است با مسائل قانونی و انطباق مواجه شوند، به خصوص اگر نقض داده ها شامل اطلاعات حساس یا تنظیم شده باشد. این می تواند منجر به جریمه، اقدامات قانونی و آسیب به شهرت شود.

به طور کلی، بدافزار دانلودر به دلیل نقشی که در تسهیل حملات بیشتر و تأثیرگذاری بر امنیت و یکپارچگی سیستم ها و شبکه های آسیب دیده دارد، یک تهدید جدی است.