Scaricatore PEAKLIGHT
I ricercatori di sicurezza informatica hanno scoperto un nuovo dropper progettato per distribuire fasi successive del malware, prendendo di mira in ultima analisi i sistemi Windows con programmi di caricamento e ladri di informazioni.
Questo dropper solo in memoria decifra ed esegue un downloader basato su PowerShell, identificato come PEAKLIGHT. I ceppi di malware distribuiti tramite questo metodo includono Lumma Stealer , Hijack Loader (noto anche come DOILoader, IDAT Loader o SHADOWLADDER) e CryptBot , tutti offerti come parte di un modello malware-as-a-service (MaaS).
Sommario
Vettore di attacco iniziale e catena di attacco
La catena di attacco inizia con un file di collegamento di Windows (LNK) che viene scaricato tramite metodi di download drive-by, come quando gli utenti cercano film online. Questi file LNK sono impacchettati in archivi ZIP camuffati da film piratati.
Una volta scaricato, il file LNK si connette a una Content Delivery Network (CDN) che ospita un dropper JavaScript offuscato e solo in memoria. Questo dropper esegue quindi lo script downloader PEAKLIGHT PowerShell sulla macchina della vittima, che, a sua volta, contatta un server Command-and-Control (C2) per recuperare ulteriori payload.
I ricercatori hanno osservato varie varianti del file LNK, alcune delle quali utilizzano asterischi (*) come caratteri jolly per richiamare il legittimo binario mshta.exe, consentendo al codice dannoso (ovvero il dropper) di essere eseguito discretamente da un server remoto.
PEAKLIGHT nasconde la sua azione minacciosa dietro film legittimi
Allo stesso modo, è stato scoperto che i dropper contengono payload PowerShell sia codificati in esadecimale che in Base64. Questi payload vengono decompressi per eseguire PEAKLIGHT, uno strumento progettato per distribuire malware successivi su un sistema infetto mentre scarica anche un trailer di un film legittimo, probabilmente come esca.
PEAKLIGHT funziona come un downloader offuscato basato su PowerShell all'interno di una catena di esecuzione multi-fase. Cerca archivi ZIP in specifici percorsi di file hard-coded. Se questi archivi non vengono trovati, il downloader contatta un sito CDN per scaricare il file di archivio e salvarlo sul disco.
Non si tratta del primo caso di malware che prende di mira gli utenti alla ricerca di film piratati. All'inizio di giugno 2024, i ricercatori hanno scoperto una sofisticata catena di infezioni che ha portato all'implementazione di Hijack Loader in seguito a un tentativo di scaricare un file video da un sito di download di film.
I downloader aprono le porte a malware più specializzati
Il malware Downloader presenta diversi pericoli significativi sia per gli individui che per le organizzazioni:
- Compromissione iniziale : il malware Downloader è spesso la prima fase di un attacco più ampio. Una volta installato, può scaricare e installare silenziosamente altri payload dannosi, tra cui malware più avanzati.
- Furto di dati : i payload aggiuntivi forniti dal malware downloader possono includere ladri di informazioni che catturano dati privati, come credenziali di accesso, informazioni finanziarie e dati personali, causando furto di identità e perdite finanziarie.
- System Hijacking : alcuni malware downloader sono progettati per distribuire strumenti di accesso remoto o backdoor, consentendo agli aggressori di ottenere il controllo del sistema infetto. Ciò può portare ad accessi non autorizzati alle reti aziendali, violazioni dei dati e ulteriore compromissione del sistema.
- Distribuzione di ransomware : il malware Downloader può essere utilizzato per installare ransomware, che può crittografare i file di una vittima e richiedere un riscatto per il loro rilascio. Ciò può causare una significativa perdita di dati e interruzione operativa.
- Maggiore vulnerabilità : una volta installato, il malware downloader può indebolire le difese del sistema e creare vulnerabilità che altri tipi di malware possono sfruttare. Ciò rende più facile per gli aggressori distribuire minacce più pericolose o persistenti.
- Propagazione di rete : il malware Downloader può diffondersi attraverso le reti, infettando altri dispositivi e sistemi all'interno dello stesso ambiente. Ciò può causare danni estesi e aumentare la complessità degli sforzi di bonifica.
- Resource Drain : il malware può consumare risorse di sistema come CPU e larghezza di banda, causando prestazioni degradate e potenziali interruzioni del servizio. Ciò può influire sulla produttività e aumentare i costi operativi.
- Rischi legali e di conformità : le organizzazioni infette potrebbero dover affrontare problemi legali e di conformità, soprattutto se la violazione dei dati riguarda informazioni sensibili o regolamentate. Ciò può comportare multe, azioni legali e danni alla reputazione.
Nel complesso, il malware downloader rappresenta una seria minaccia in quanto facilita ulteriori attacchi e compromette la sicurezza e l'integrità dei sistemi e delle reti interessati.
