הורדת PEAKLIGHT

חוקרי אבטחת סייבר גילו טפטפת חדשה שנועדה לפרוס שלבים עוקבים של תוכנות זדוניות, ולבסוף למקד למערכות Windows עם גונבי מידע ומטעינים.

הטפטף הזה לזיכרון בלבד מפענח ומפעיל הורדה מבוסס PowerShell, המזוהה כ-PEAKLIGHT. זני הזדוניות המופצים בשיטה זו כוללים את Lumma Stealer , Hijack Loader (הידוע גם בשם DOILoader, IDAT Loader או SHADOWLADDER), ו- CryptBot , כולם מוצעים כחלק ממודל של תוכנות זדוניות כשירות (MaaS).

וקטור התקפה ראשוני ושרשרת התקפה

שרשרת ההתקפה מתחילה עם קובץ קיצור של Windows (LNK) המוריד באמצעות שיטות הורדה של Drive-by, כגון כאשר משתמשים מחפשים סרטים באינטרנט. קבצי LNK אלו ארוזים בארכיוני ZIP במסווה של סרטים פיראטיים.

לאחר ההורדה, קובץ ה-LNK מתחבר לרשת אספקת תוכן (CDN) המארח טפטפת JavaScript מעורפלת לזיכרון בלבד. הטפטפת הזו מבצעת את סקריפט ההורדה של PEAKLIGHT PowerShell במחשב של הקורבן, שבתורו, יוצר קשר עם שרת Command-and-Control (C2) כדי לאחזר עומסים נוספים.

חוקרים הבחינו בווריאציות שונות של קבצי LNK, כאשר חלקם השתמשו בכוכביות (*) בתור תווים כלליים כדי להפעיל את הקובץ הבינארי הלגיטימי mshta.exe, המאפשר להפעיל את הקוד הזדוני (כלומר, הטפטפת) באופן דיסקרטי משרת מרוחק.

PEAKLIGHT מסתיר את הפעולה המאיימת שלו מאחורי סרטים לגיטימיים

באופן דומה, נמצא כי הטפטפות מכילות גם עומסי PowerShell מקודדים ב-hex וגם מקודדי Base64. מטענים אלה מנותקים כדי להפעיל את PEAKLIGHT, כלי שנועד לפרוס תוכנות זדוניות עוקבות במערכת נגועה תוך הורדת טריילר סרט לגיטימי, ככל הנראה כפתיון.

PEAKLIGHT מתפקד כמוריד מבוסס PowerShell מעורפל בתוך שרשרת ביצוע רב-שלבית. הוא מחפש ארכיוני ZIP בנתיבי קבצים מקודדים ספציפיים. אם הארכיונים הללו לא נמצאו, המוריד יוצר קשר עם אתר CDN כדי להוריד את קובץ הארכיון ולשמור אותו בדיסק.

זה לא המקרה הראשון של תוכנות זדוניות שממקדות למשתמשים שמחפשים סרטים פיראטיים. בתחילת יוני 2024, חוקרים חשפו שרשרת זיהומים מתוחכמת שהביאה לפריסה של Hijack Loader בעקבות ניסיון להוריד קובץ וידאו מאתר הורדת סרטים.

הורדות פותחות את הדלת לתוכנות זדוניות מיוחדות יותר

תוכנה זדונית של הורדה מהווה מספר סכנות משמעותיות הן ליחידים והן לארגונים:

• פשרה ראשונית : תוכנה זדונית של הורדה היא לעתים קרובות השלב הראשון של התקפה גדולה יותר. לאחר ההתקנה, הוא יכול להוריד ולהתקין מטענים זדוניים נוספים, כולל תוכנות זדוניות מתקדמות יותר.
• גניבת נתונים : המטענים הנוספים המסופקים על ידי תוכנות זדוניות של הורדה יכולים לכלול גנבי מידע הלוכדים נתונים פרטיים, כגון אישורי התחברות, מידע פיננסי ופרטים אישיים, מה שמוביל לגניבת זהות ואובדן כספי.
• חטיפת מערכת : תוכנות זדוניות מסוימות של הורדות נועדו לפרוס כלי גישה מרחוק או דלתות אחוריות, מה שמאפשר לתוקפים להשיג שליטה על המערכת הנגועה. זה יכול להוביל לגישה לא מורשית לרשתות ארגוניות, לפרצות מידע ולפגיעה נוספת במערכת.
• פריסת תוכנות כופר : תוכנות זדוניות של הורדה עשויות לשמש להתקנת תוכנות כופר, שיכולות להצפין קבצים של הקורבן ולדרוש תשלום כופר עבור שחרורם. זה יכול לגרום לאובדן נתונים משמעותי ולשיבוש תפעולי.
• פגיעות מוגברת : לאחר ההתקנה, תוכנות זדוניות מורידות יכולות להחליש את הגנת המערכת וליצור פגיעויות שסוגים אחרים של תוכנות זדוניות יכולים לנצל. זה מקל על התוקפים לפרוס איומים מסוכנים או מתמשכים יותר.
• הפצת רשת : תוכנות זדוניות של הורדת יכולות להתפשט ברשתות ולהדביק מכשירים ומערכות אחרים באותה סביבה. הדבר עלול לגרום לנזק נרחב ולהגביר את המורכבות של מאמצי השיקום.
• ריקון משאבים : התוכנה הזדונית יכולה לצרוך משאבי מערכת כגון מעבד ורוחב פס, מה שמוביל לירידה בביצועים ולהפסקות שירות פוטנציאליות. זה יכול להשפיע על הפרודוקטיביות ולהגדיל את עלויות התפעול.
• סיכונים משפטיים ותאימות : ארגונים נגועים עלולים להתמודד עם בעיות משפטיות ותאימות, במיוחד אם הפרת המידע כוללת מידע רגיש או מוסדר. הדבר עלול לגרום לקנסות, לתביעות משפטיות ולפגיעה במוניטין.

בסך הכל, תוכנות זדוניות של הורדות הן איום רציני בשל תפקידה בהקלת התקפות נוספות והשפעה על האבטחה והשלמות של המערכות והרשתות המושפעות.