Multi-License Discount Quote
Grėsmių duomenų bazė Malware PEAKLIGHT parsisiuntimo programa

PEAKLIGHT parsisiuntimo programa

Autorius Mezo, Malware
Versti į:
Lietuvių

Kibernetinio saugumo tyrėjai atrado naują lašintuvą, skirtą vėlesniems kenkėjiškų programų etapams įdiegti, galiausiai nukreipiant į Windows sistemas su informacijos vagimis ir krovikliais.

Šis tik atminties lašintuvas iššifruoja ir paleidžia „PowerShell“ pagrįstą atsisiuntimo programą, identifikuotą kaip PEAKLIGHT. Kenkėjiškų programų padermės, platinamos naudojant šį metodą, apima „Lumma Stealer“ , „Hjack Loader“ (taip pat žinomas kaip „DOILoader“, „IDAT Loader“ arba „SHADOWLADDER“) ir „CryptBot“ , kurios visos siūlomos kaip „malware-as-a-service“ (MaaS) modelio dalis.

Pradinis atakos vektorius ir atakos grandinė

Atakos grandinė prasideda nuo „Windows“ nuorodos (LNK) failo, kuris atsisiunčiamas naudojant „driver-by“ atsisiuntimo metodus, pvz., kai vartotojai ieško filmų internete. Šie LNK failai supakuoti į ZIP archyvus, užmaskuotus kaip piratiniai filmai.

Atsisiuntus LNK failas prisijungia prie turinio pristatymo tinklo (CDN), kuriame yra užtemdytas, tik atminties turintis „JavaScript“ lašintuvas. Tada šis lašintuvas vykdo PEAKLIGHT PowerShell atsisiuntimo programos scenarijų aukos įrenginyje, kuris, savo ruožtu, susisiekia su komandų ir valdymo (C2) serveriu, kad gautų kitus naudingus krovinius.

Tyrėjai pastebėjo įvairius LNK failų variantus, kai kurie naudoja žvaigždutes (*) kaip pakaitos simbolius, kad iškviestų teisėtą dvejetainį failą mshta.exe, leidžiantį diskretiškai vykdyti kenkėjišką kodą (ty lašintuvą) iš nuotolinio serverio.

PEAKLIGHT savo grėsmingą veiksmą slepia už teisėtų filmų

Panašiai buvo nustatyta, kad lašintuvuose yra ir šešioliktainiu kodu, ir „Base64“ koduota „PowerShell“ naudingoji apkrova. Šie naudingi kroviniai išpakuojami, kad būtų paleistas PEAKLIGHT – įrankis, skirtas vėlesnėms kenkėjiškoms programoms įdiegti užkrėstoje sistemoje, kartu atsisiunčiant teisėtą filmo anonsą, greičiausiai kaip apgaulę.

PEAKLIGHT veikia kaip užtemdyta PowerShell pagrindu sukurta atsisiuntimo priemonė kelių pakopų vykdymo grandinėje. Jis ieško ZIP archyvų tam tikruose sunkiai koduotuose failų keliuose. Jei šie archyvai nerandami, atsisiuntimo programa susisiekia su CDN svetaine, kad atsisiųstų archyvo failą ir išsaugotų jį diske.

Tai ne pirmas kenkėjiškų programų atvejis, nukreiptas į naudotojus, ieškančius piratinių filmų. 2024 m. birželio pradžioje tyrėjai atskleidė sudėtingą infekcijos grandinę, dėl kurios buvo įdiegtas „Hijack Loader“ po bandymo atsisiųsti vaizdo failą iš filmų atsisiuntimo svetainės.

Siuntėjai atveria duris labiau specializuotoms kenkėjiškoms programoms

„Downloader“ kenkėjiška programa kelia keletą rimtų pavojų tiek asmenims, tiek organizacijoms:

  • Pradinis kompromisas : „Downloader“ kenkėjiška programa dažnai yra pirmasis didesnės atakos etapas. Įdiegtas jis gali tyliai atsisiųsti ir įdiegti papildomų kenksmingų krovinių, įskaitant pažangesnes kenkėjiškas programas.
  • Duomenų vagystė : į papildomus naudingus krovinius, kuriuos perduoda kenkėjiška programinė įranga, gali būti informacijos vagystės, kurios fiksuoja asmeninius duomenis, pvz., prisijungimo duomenis, finansinę informaciją ir asmeninę informaciją, todėl gali pavogti tapatybę ir patirti finansinių nuostolių.
  • Sistemos užgrobimas : kai kurios parsisiuntimo programos yra skirtos nuotolinės prieigos įrankiams arba užpakalinėms durims įdiegti, kad užpuolikai galėtų kontroliuoti užkrėstą sistemą. Tai gali sukelti neteisėtą prieigą prie įmonės tinklų, duomenų pažeidimus ir tolesnius sistemos pažeidimus.
  • Išpirkos reikalaujančios programinės įrangos diegimas : kenkėjiška programa Downloader gali būti naudojama norint įdiegti išpirkos reikalaujančią programinę įrangą, kuri gali užšifruoti aukos failus ir reikalauti išpirkos už jų išleidimą. Tai gali sukelti didelį duomenų praradimą ir veikimo sutrikimus.
  • Padidėjęs pažeidžiamumas : įdiegta kenkėjiška programinė įranga gali susilpninti sistemos apsaugą ir sukurti pažeidžiamumą, kurį gali išnaudoti kitų tipų kenkėjiškos programos. Tai leidžia užpuolikams lengviau įdiegti pavojingesnes ar nuolatines grėsmes.
  • Tinklo plitimas : kenkėjiška programa, skirta atsisiųsti, gali plisti tinkluose, užkrėsdama kitus įrenginius ir sistemas toje pačioje aplinkoje. Tai gali sukelti didelę žalą ir padidinti ištaisymo pastangų sudėtingumą.
  • Išteklių nutekėjimas : kenkėjiška programa gali eikvoti sistemos išteklius, pvz., procesorių ir pralaidumą, todėl gali pablogėti našumas ir galimi paslaugos nutrūkimai. Tai gali turėti įtakos našumui ir padidinti veiklos sąnaudas.
  • Teisinė ir atitikties rizika : užkrėstos organizacijos gali susidurti su teisinėmis ir atitikties problemomis, ypač jei duomenų pažeidimas susijęs su neskelbtina ar reguliuojama informacija. Dėl to gali būti skirtos baudos, teisiniai veiksmai ir žala reputacijai.

Apskritai kenkėjiška programinė įranga yra rimta grėsmė, nes ji skatina tolesnius išpuolius ir daro įtaką paveiktų sistemų ir tinklų saugumui ir vientisumui.

Tendencijos

Kenkėjiška programa pornografinėje svetainėje El....

Spam
Labai svarbu, kad vartotojai būtų budrūs naršydami internetiniame pasaulyje. Kibernetiniai nusikaltėliai nuolat kuria naujas taktikas, kaip apgauti ir išnaudoti asmenis. Vienas iš ypač klastingų sukčiavimo būdų yra sukčiavimas dėl sekso iškraipymo, kuris apgauna vartotojų baimes ir pažeidžiamumą. Vienas iš to variantų yra el. laiškų sukčiai „Kenkėjiškos programos pornografinėje svetainėje“,...

Telefono numeris buvo pridėtas prie jūsų paskyros...

Phishing, Spam
Šiuolaikiniame skaitmeniniame amžiuje labai svarbu, kad vartotojai būtų atsargūs tvarkydami netikėtus el. laiškus. Sukčiavimo taktika ir kita nesaugi veikla dažnai užmaskuojama kaip teisėtas bendravimas, grobiantis nieko neįtariančius asmenis. Telefono numeris buvo pridėtas prie jūsų paskyros el. pašto sukčiavimo apžvalga Kibernetinio saugumo tyrėjai nustatė naują sukčiavimo sukčiavimo aferą,...

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
38,029
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...

Iššokantieji langai „Jei jums 18 metų, bakstelėkite...

Fake Warning Messages
29,612
Iššokantieji langai „Jei esate 18 metų, bakstelėkite leisti“ yra iššokančiųjų langų tipas, kuris rodomas vartotojo ekrane naršant internete. Šie iššokantieji langai gali kelti nerimą vartotojams, nes jie ragina spustelėti mygtuką „leisti“, kad toliau naudotųsi svetaine, kurioje jie šiuo metu yra. Šie iššokantys langai yra susiję su tokiomis nepageidaujamomis programomis kaip reklaminė...
Įkeliama...