Multi-License Discount Quote
Veszély-adatbázis Malware PEAKLIGHT letöltő

PEAKLIGHT letöltő

Mezo -ra Malware-ben
Fordítás ide:
Magyar

A kiberbiztonsági kutatók felfedeztek egy újszerű droppert, amelyet a kártevők későbbi szakaszainak telepítésére terveztek, és végül a Windows rendszereket célozzák meg információlopókkal és -betöltőkkel.

Ez a csak memóriát használó dropper dekódolja és egy PowerShell-alapú letöltőt futtat, amelyet PEAKLIGHT néven azonosítanak. Az ezzel a módszerrel terjesztett rosszindulatú programtörzsek közé tartozik a Lumma Stealer , a Hijack Loader (más néven DOILoader, IDAT Loader vagy SHADOWLADDER) és a CryptBot , amelyek mindegyike a malware-as-a-service (MaaS) modell része.

Kezdeti támadás vektor és támadási lánc

A támadási lánc egy Windows parancsikon (LNK) fájllal kezdődik, amelyet meghajtónkénti letöltési módszerekkel töltenek le, például amikor a felhasználók az interneten keresnek filmeket. Ezeket az LNK-fájlokat kalózfilmeknek álcázott ZIP-archívumokba csomagolják.

A letöltést követően az LNK-fájl csatlakozik egy tartalomszolgáltató hálózathoz (CDN), amely egy obfuszkált, csak memóriát használó JavaScript droppert tartalmaz. Ez a dropper ezután végrehajtja a PEAKLIGHT PowerShell letöltő szkriptet az áldozat gépén, amely viszont kapcsolatba lép egy Command-and-Control (C2) szerverrel, hogy lekérje a további hasznos adatokat.

A kutatók különféle LNK-fájlvariációkat figyeltek meg, amelyek közül néhány csillagot (*) használ helyettesítő karakterként a legitim mshta.exe bináris meghívására, lehetővé téve a rosszindulatú kód (azaz a dropper) diszkrét végrehajtását egy távoli szerverről.

A PEAKLIGHT a legális filmek mögé rejti fenyegető akcióit

Hasonlóképpen, a dropperek hexadecimális kódolású és Base64 kódolású PowerShell rakományt is tartalmaznak. Ezeket a rakományokat kicsomagolják a PEAKLIGHT futtatásához, egy olyan eszközhöz, amelyet arra terveztek, hogy később rosszindulatú programokat telepítsen egy fertőzött rendszerre, miközben letölti a legális filmelőzeteseket, valószínűleg csaliként.

A PEAKLIGHT homályos PowerShell-alapú letöltőként működik egy többlépcsős végrehajtási láncon belül. Megkeresi a ZIP archívumokat meghatározott, keményen kódolt fájl útvonalakon. Ha ezek az archívumok nem találhatók, a letöltő felveszi a kapcsolatot egy CDN-hellyel, hogy letöltse az archív fájlt, és elmentse a lemezre.

Nem ez az első olyan rosszindulatú program, amely kalózfilmeket kereső felhasználókat céloz meg. 2024 júniusának elején a kutatók egy kifinomult fertőzési láncot tártak fel, amely a Hijack Loader telepítését eredményezte, miután megpróbáltak letölteni egy videofájlt egy filmletöltő oldalról.

A letöltők megnyitják az ajtót a speciálisabb rosszindulatú programok előtt

A letöltő rosszindulatú programok számos jelentős veszélyt jelentenek egyénekre és szervezetekre egyaránt:

  • Kezdeti kompromisszum : A letöltő rosszindulatú program gyakran egy nagyobb támadás első szakasza. A telepítés után csendben letölthet és telepíthet további rosszindulatú rakományokat, beleértve a fejlettebb rosszindulatú programokat is.
  • Adatlopás : A letöltő rosszindulatú programok által szállított további rakományok közé tartozhatnak az információlopók, amelyek személyes adatokat, például bejelentkezési hitelesítő adatokat, pénzügyi információkat és személyes adatokat rögzítenek, ami személyazonosság-lopáshoz és pénzügyi veszteséghez vezethet.
  • Rendszereltérítés : Néhány letöltő rosszindulatú program távoli hozzáférési eszközök vagy hátsó ajtók telepítésére szolgál, lehetővé téve a támadók számára, hogy átvegyék az irányítást a fertőzött rendszer felett. Ez a vállalati hálózatokhoz való jogosulatlan hozzáféréshez, adatszivárgáshoz és további rendszerkompromittáláshoz vezethet.
  • Ransomware telepítése : A Downloader rosszindulatú szoftverek zsarolóprogramok telepítésére használhatók, amelyek titkosíthatják az áldozat fájljait, és váltságdíjat követelhetnek a kiadásukért. Ez jelentős adatvesztést és működési zavarokat okozhat.
  • Megnövelt sebezhetőség : A letöltő rosszindulatú programok telepítése után gyengíthetik a rendszer védelmét, és olyan sebezhetőségeket hozhatnak létre, amelyeket más típusú rosszindulatú programok is kihasználhatnak. Ez megkönnyíti a támadók számára, hogy veszélyesebb vagy tartósabb fenyegetéseket telepítsenek.
  • Hálózati terjedés : A letöltő rosszindulatú programok hálózatokon keresztül terjedhetnek, megfertőzve más eszközöket és rendszereket ugyanabban a környezetben. Ez széles körben elterjedt károkat okozhat, és bonyolultabbá teheti a helyreállítási erőfeszítéseket.
  • Erőforrás lemerülés : A rosszindulatú program felemésztheti a rendszer erőforrásait, például a CPU-t és a sávszélességet, ami csökkent teljesítményhez és potenciális szolgáltatáskimaradásokhoz vezethet. Ez befolyásolhatja a termelékenységet és növelheti a működési költségeket.
  • Jogi és megfelelőségi kockázatok : A fertőzött szervezetek jogi és megfelelőségi problémákkal szembesülhetnek, különösen akkor, ha az adatvédelmi incidens érzékeny vagy szabályozott információkat érint. Ez pénzbírságot, jogi lépéseket és a jó hírnév megsértését eredményezheti.

Összességében a letöltő rosszindulatú programok komoly fenyegetést jelentenek a további támadások elősegítésében, valamint az érintett rendszerek és hálózatok biztonságának és integritásának befolyásolásában.

Felkapott

Rosszindulatú program pornówebhelyen, e-mail átverés

Spam
Kulcsfontosságú, hogy a felhasználók éberek legyenek az online világban való navigálás során. A kiberbűnözők folyamatosan új taktikákat dolgoznak ki az egyének megtévesztésére és kizsákmányolására. Az egyik különösen alattomos típusú átverés a szextorziós csalás, amely a felhasználók félelmeit és sebezhetőségeit zsákmányolja. Ennek egyik változata a „Malware On Porn Website” e-mail-átverés,...

A telefonszám hozzáadva a fiókjához E-mail átverés

Phishing, Spam
A mai digitális korban rendkívül fontos, hogy a felhasználók óvatosak legyenek a váratlan e-mailek kezelésekor. Az adathalász taktikák és más nem biztonságos tevékenységek gyakran legitim kommunikációnak álcázzák magukat, és gyanútlan egyéneket zsákmányolnak. A telefonszám hozzáadva a fiókjához, e-mail átverés áttekintése A kiberbiztonsági kutatók egy új adathalász csalást azonosítottak, amely...

Legnézettebb

„Ha Ön 18 éves, koppintson az Engedélyezés gombra”...

Fake Warning Messages
29,612
A „Ha 18 éves vagy, koppintson az Engedélyezésre” felugró ablakok olyan felugró hirdetések, amelyek a felhasználó képernyőjén jelennek meg, amikor az interneten böngészik. Ezek az előugró ablakok meglehetősen riasztóak lehetnek a felhasználók számára, mivel arra ösztönzik őket, hogy kattintson az "engedélyezés" gombra, hogy továbbra is használja a jelenleg használt webhelyet. Ezek az előugró...
Betöltés...