PEAKLIGHT Downloader

Kyberturvallisuustutkijat ovat löytäneet uuden dropperin, joka on suunniteltu ottamaan käyttöön myöhempiä haittaohjelmavaiheita, mikä lopulta kohdistuu Windows-järjestelmiin, joissa on tiedonvarastajia ja lataajia.

Tämä vain muistia sisältävä dropper purkaa salauksen ja suorittaa PowerShell-pohjaisen latausohjelman, joka on tunnistettu nimellä PEAKLIGHT. Tällä menetelmällä levitettävät haittaohjelmakannat sisältävät Lumma Stealer , Hijack Loader (tunnetaan myös nimellä DOILoader, IDAT Loader tai SHADOWLADDER) ja CryptBot , jotka kaikki tarjotaan osana MaaS (malware-as-a-service) -mallia.

Ensimmäinen hyökkäysvektori ja hyökkäysketju

Hyökkäysketju alkaa Windowsin pikakuvaketiedostolla (LNK), joka ladataan drive-by-latausmenetelmillä, esimerkiksi kun käyttäjät etsivät elokuvia verkosta. Nämä LNK-tiedostot on pakattu ZIP-arkistoon, joka on naamioitu piraattielokuviksi.

Kun LNK-tiedosto on ladattu, se muodostaa yhteyden sisällönjakeluverkkoon (CDN), joka isännöi obfusoitua, vain muistia sisältävää JavaScript-poistolaitetta. Tämä dropperi suorittaa sitten PEAKLIGHT PowerShell -latausohjelman uhrin koneella, joka puolestaan ottaa yhteyttä Command-and-Control (C2) -palvelimeen noutaakseen lisää hyötykuormia.

Tutkijat ovat havainneet erilaisia LNK-tiedostojen muunnelmia, joista osa on käyttänyt tähtiä (*) jokerimerkkinä kutsuakseen laillisen mshta.exe-binaarin, mikä mahdollistaa haitallisen koodin (eli dropperin) suorittamisen huomaamattomasti etäpalvelimelta.

PEAKLIGHT piilottaa uhkaavan toimintansa laillisten elokuvien taakse

Samoin dropperien on havaittu sisältävän sekä hex-koodattuja että Base64-koodattuja PowerShell-hyötykuormia. Nämä hyötykuormat puretaan PEAKLIGHTia varten. Se on työkalu, joka on suunniteltu asentamaan myöhempiä haittaohjelmia tartunnan saaneeseen järjestelmään ja lataamaan samalla laillisen elokuvan trailerin, todennäköisesti houkutusvälineenä.

PEAKLIGHT toimii hämäränä PowerShell-pohjaisena latausohjelmana monivaiheisessa suoritusketjussa. Se etsii ZIP-arkistoja tietyistä kovakoodatuista tiedostopoluista. Jos näitä arkistoja ei löydy, latausohjelma ottaa yhteyttä CDN-sivustoon ladatakseen arkistotiedoston ja tallentaakseen sen levylle.

Tämä ei ole ensimmäinen tapaus, jossa haittaohjelmat kohdistuvat käyttäjiin, jotka etsivät piraattielokuvia. Kesäkuun alussa 2024 tutkijat paljastivat kehittyneen infektioketjun, joka johti Hijack Loaderin käyttöönoton jälkeen, kun yritettiin ladata videotiedosto elokuvien lataussivustolta.

Lataajat avaa oven erikoisemmille haittaohjelmille

Downloader-haittaohjelmat aiheuttavat useita merkittäviä vaaroja sekä yksilöille että organisaatioille:

• Alkukompromissi : Downloader-haittaohjelmat ovat usein suuremman hyökkäyksen ensimmäinen vaihe. Kun se on asennettu, se voi hiljaa ladata ja asentaa lisää haitallisia hyötykuormia, mukaan lukien kehittyneempiä haittaohjelmia.
• Tietovarkaukset : Lataaja-haittaohjelmien toimittamat lisähyötykuormat voivat sisältää tietovarastoja, jotka kaappaavat yksityisiä tietoja, kuten kirjautumistietoja, taloudellisia tietoja ja henkilötietoja, mikä johtaa identiteettivarkauksiin ja taloudellisiin menetyksiin.
• Järjestelmän kaappaus : Jotkin latausohjelman haittaohjelmat on suunniteltu ottamaan käyttöön etäkäyttötyökaluja tai takaovia, jolloin hyökkääjät voivat hallita tartunnan saaneen järjestelmän. Tämä voi johtaa luvattomaan pääsyyn yritysverkkoihin, tietoturvaloukkauksiin ja järjestelmän vaarantumiseen.
• Ransomware Deployment : Downloader-haittaohjelmia voidaan käyttää kiristysohjelmien asentamiseen, jotka voivat salata uhrin tiedostot ja vaatia lunnaita niiden vapauttamisesta. Tämä voi johtaa merkittäviin tietojen menetykseen ja toimintahäiriöihin.
• Lisääntynyt haavoittuvuus : Kun latausohjelma on asennettu, ne voivat heikentää järjestelmän puolustusta ja luoda haavoittuvuuksia, joita muun tyyppiset haittaohjelmat voivat hyödyntää. Tämän ansiosta hyökkääjien on helpompi ottaa käyttöön vaarallisempia tai pysyviä uhkia.
• Verkon leviäminen : Downloader-haittaohjelmat voivat levitä verkoissa ja saastuttaa muita laitteita ja järjestelmiä samassa ympäristössä. Tämä voi aiheuttaa laajoja vahinkoja ja monimutkaista korjaavia toimia.
• Resurssien tyhjeneminen : Haittaohjelma voi kuluttaa järjestelmäresursseja, kuten suoritinta ja kaistanleveyttä, mikä johtaa suorituskyvyn heikkenemiseen ja mahdollisiin palvelukatkoihin. Tämä voi vaikuttaa tuottavuuteen ja lisätä käyttökustannuksia.
• Oikeudelliset ja vaatimustenmukaisuusriskit : Tartunnan saaneilla organisaatioilla voi olla oikeudellisia ja vaatimustenmukaisuusongelmia, varsinkin jos tietoturvaloukkaukseen liittyy arkaluonteisia tai säänneltyjä tietoja. Tästä voi seurata sakkoja, oikeustoimia ja mainevaurioita.

Kaiken kaikkiaan latausohjelman haittaohjelmat ovat vakava uhka, koska ne helpottavat uusia hyökkäyksiä ja vaikuttavat kyseisten järjestelmien ja verkkojen turvallisuuteen ja eheyteen.