Campo Loader

Campo Loader (o NLoader) è una minaccia malware che viene sfruttata nelle campagne di attacco contro entità giapponesi. Campo Loader agisce come una minaccia in fase iniziale progettata per fornire i veri payload del malware sui computer già compromessi. È stato osservato che Campo Loader rilascia diversi carichi utili, a seconda dell'attore specifico della minaccia e dei loro obiettivi particolari. Il nome assegnato alla minaccia era basato su un percorso contenente "/ campo /" utilizzato durante la comunicazione con il server Command-and-Control (C2, C&C).

Dopo essere stato eseguito, il primo compito di Campo Loader è creare una directory con un nome hardcoded. Il passaggio successivo consiste nel tentare di raggiungere il server C2. A tale scopo, la minaccia invia una stringa "ping" tramite POST e attende le risposte in arrivo. Il server Openfield restituisce un URL come risposta ma, prima che Campo Loader proceda con le sue attività minacciose, controlla se il messaggio dai server C2 inizia con una "h". In caso contrario, il malware interrompe il processo.

In caso contrario, un secondo messaggio "ping" viene trasmesso nuovamente all'URL fornito utilizzando il metodo POST. Ciò porta a un secondo payload che viene recuperato da Campo Loader e salvato come file sul sistema compromesso. Il nome del file è ancora una volta codificato nella minaccia. Quindi rundll32.exe verrà abusato per chiamare una funzione denominata "DF" nel file DLL che è stato scaricato.

Nelle versioni precedenti delle campagne di attacco, Campo Loader era distribuito sotto forma di un file .exe che poteva essere scaricato ed eseguito. Ha anche eseguito direttamente i payload della fase successiva come Ursnif e Zloader . Le varianti più recenti, tuttavia, tendono a preferire l'utilizzo di versioni DLL mentre il payload fornito è passato a DFDownloader.