Multi-License Discount Quote
Pangkalan Data Ancaman Malware Pemuat turun PEAKLIGHT

Pemuat turun PEAKLIGHT

Menjelang Mezo pada Malware
Terjemahkan ke
بهاس ملايو

Penyelidik keselamatan siber telah menemui penitis baru yang direka untuk menggunakan peringkat perisian hasad berikutnya, yang akhirnya menyasarkan sistem Windows dengan pencuri dan pemuat maklumat.

Penitis memori sahaja ini menyahsulit dan menjalankan pemuat turun berasaskan PowerShell, yang dikenal pasti sebagai PEAKLIGHT. Jenis perisian hasad yang diedarkan melalui kaedah ini termasuk Lumma Stealer , Hijack Loader (juga dikenali sebagai DOILoader, IDAT Loader atau SHADOWLADDER) dan CryptBot , yang kesemuanya ditawarkan sebagai sebahagian daripada model perisian hasad sebagai perkhidmatan (MaaS).

Vektor Serangan Awal dan Rantaian Serangan

Rantaian serangan bermula dengan fail pintasan Windows (LNK) yang dimuat turun melalui kaedah muat turun pemanduan, seperti apabila pengguna mencari filem dalam talian. Fail LNK ini dibungkus dalam arkib ZIP yang menyamar sebagai filem cetak rompak.

Setelah dimuat turun, fail LNK bersambung ke Rangkaian Penghantaran Kandungan (CDN) yang mengehoskan penitis JavaScript memori sahaja yang dikelirukan. Penitis ini kemudian melaksanakan skrip pemuat turun PowerShell PEAKLIGHT pada mesin mangsa, yang seterusnya, menghubungi pelayan Command-and-Control (C2) untuk mendapatkan muatan selanjutnya.

Penyelidik telah memerhatikan pelbagai variasi fail LNK, dengan sesetengahnya menggunakan asterisk (*) sebagai kad bebas untuk menggunakan perduaan mshta.exe yang sah, membenarkan kod hasad (iaitu, penitis) dilaksanakan secara diam-diam daripada pelayan jauh.

PEAKLIGHT Menyembunyikan Aksi Mengancamnya di sebalik Filem Sah

Begitu juga, penitis didapati mengandungi muatan PowerShell yang dikodkan hex dan dikodkan Base64. Muatan ini dibongkar untuk menjalankan PEAKLIGHT, alat yang direka untuk menggunakan perisian hasad berikutnya pada sistem yang dijangkiti sambil memuat turun treler filem yang sah, mungkin sebagai tipu daya.

PEAKLIGHT berfungsi sebagai pemuat turun berasaskan PowerShell yang dikelirukan dalam rantai pelaksanaan berbilang peringkat. Ia mencari arkib ZIP dalam laluan fail berkod keras tertentu. Jika arkib ini tidak ditemui, pemuat turun menghubungi tapak CDN untuk memuat turun fail arkib dan menyimpannya ke cakera.

Ini bukan contoh pertama perisian hasad yang menyasarkan pengguna yang mencari filem cetak rompak. Pada awal Jun 2024, penyelidik menemui rantaian jangkitan canggih yang mengakibatkan penggunaan Hijack Loader berikutan percubaan memuat turun fail video daripada tapak muat turun filem.

Pemuat turun Buka Pintu untuk Lebih Banyak Perisian Hasad Khusus

Perisian jahat pemuat turun menimbulkan beberapa bahaya besar kepada individu dan organisasi:

  • Kompromi Permulaan : Peribadi pemuat turun selalunya merupakan peringkat pertama serangan yang lebih besar. Setelah dipasang, ia boleh memuat turun dan memasang muatan berniat jahat tambahan secara senyap, termasuk perisian hasad yang lebih maju.
  • Kecurian Data : Muatan tambahan yang dihantar oleh perisian hasad pemuat turun boleh termasuk pencuri maklumat yang menangkap data peribadi, seperti bukti kelayakan log masuk, maklumat kewangan dan butiran peribadi, yang membawa kepada kecurian identiti dan kerugian kewangan.
  • Rampasan Sistem : Sesetengah perisian hasad pemuat turun direka untuk menggunakan alat capaian jauh atau pintu belakang, membolehkan penyerang mendapat kawalan ke atas sistem yang dijangkiti. Ini boleh membawa kepada akses tanpa kebenaran kepada rangkaian korporat, pelanggaran data dan kompromi sistem selanjutnya.
  • Penerapan Ransomware : Pemuat turun perisian hasad boleh digunakan untuk memasang perisian tebusan, yang boleh menyulitkan fail mangsa dan menuntut bayaran tebusan untuk pembebasan mereka. Ini boleh mengakibatkan kehilangan data yang ketara dan gangguan operasi.
  • Kerentanan Bertambah : Setelah dipasang, perisian hasad pemuat turun boleh melemahkan pertahanan sistem dan mewujudkan kelemahan yang boleh dieksploitasi oleh jenis perisian hasad lain. Ini memudahkan penyerang menggunakan ancaman yang lebih berbahaya atau berterusan.
  • Penyebaran Rangkaian : Pemuat turun perisian hasad boleh merebak merentasi rangkaian, menjangkiti peranti dan sistem lain dalam persekitaran yang sama. Ini boleh menyebabkan kerosakan yang meluas dan meningkatkan kerumitan usaha pemulihan.
  • Longkang Sumber : Malware boleh menggunakan sumber sistem seperti CPU dan lebar jalur, yang membawa kepada prestasi yang merosot dan kemungkinan gangguan perkhidmatan. Ini boleh menjejaskan produktiviti dan meningkatkan kos operasi.
  • Risiko Perundangan dan Pematuhan : Organisasi yang dijangkiti mungkin menghadapi isu undang-undang dan pematuhan, terutamanya jika pelanggaran data melibatkan maklumat sensitif atau terkawal. Ini boleh mengakibatkan denda, tindakan undang-undang dan kerosakan reputasi.

Secara keseluruhannya, perisian hasad pemuat turun adalah ancaman serius kerana peranannya dalam memudahkan serangan selanjutnya dan menjejaskan keselamatan dan integriti sistem dan rangkaian yang terjejas.

Trending

Paling banyak dilihat

Memuatkan...