PEAKLIGHT-nedlaster

Cybersikkerhetsforskere har oppdaget en ny dropper designet for å distribuere påfølgende skadevarestadier, og til slutt målrette Windows-systemer med informasjonstyvere og -lastere.

Denne dropperen med kun minne dekrypterer og kjører en PowerShell-basert nedlaster, identifisert som PEAKLIGHT. Skadevarestammene som distribueres gjennom denne metoden inkluderer Lumma Stealer , Hijack Loader (også kjent som DOILoader, IDAT Loader eller SHADOWLADDER) og CryptBot , som alle tilbys som en del av en malware-as-a-service (MaaS)-modell.

Innledende angrepsvektor og angrepskjede

Angrepskjeden begynner med en Windows-snarvei (LNK)-fil som lastes ned gjennom drive-by-nedlastingsmetoder, for eksempel når brukere søker etter filmer på nettet. Disse LNK-filene er pakket i ZIP-arkiver forkledd som piratkopierte filmer.

Når den er lastet ned, kobles LNK-filen til et Content Delivery Network (CDN) som er vert for en skjult JavaScript-dropper som kun inneholder minne. Denne dropperen kjører deretter PEAKLIGHT PowerShell-nedlastingsskriptet på offerets maskin, som igjen kontakter en Command-and-Control-server (C2) for å hente ytterligere nyttelast.

Forskere har observert forskjellige LNK-filvariasjoner, med noen som bruker stjerner (*) som jokertegn for å påkalle den legitime mshta.exe-binæren, slik at den ondsinnede koden (dvs. dropperen) kan kjøres diskret fra en ekstern server.

PEAKLIGHT skjuler sin truende handling bak legitime filmer

På samme måte har dropperne vist seg å inneholde både sekskantkodede og Base64-kodede PowerShell-nyttelaster. Disse nyttelastene pakkes ut for å kjøre PEAKLIGHT, et verktøy utviklet for å distribuere påfølgende skadelig programvare på et infisert system, samtidig som man laster ned en legitim filmtrailer, sannsynligvis som et lokkemiddel.

PEAKLIGHT fungerer som en skjult PowerShell-basert nedlaster i en flertrinns utførelseskjede. Den søker etter ZIP-arkiver i spesifikke hardkodede filbaner. Hvis disse arkivene ikke blir funnet, kontakter nedlasteren et CDN-nettsted for å laste ned arkivfilen og lagre den på disken.

Dette er ikke det første tilfellet av skadelig programvare rettet mot brukere som søker etter piratkopierte filmer. Tidlig i juni 2024 avdekket forskere en sofistikert infeksjonskjede som resulterte i utplasseringen av Hijack Loader etter et forsøk på å laste ned en videofil fra en filmnedlastingsside.

Nedlastere åpner døren for mer spesialisert skadelig programvare

Skadevare for nedlasting utgjør flere betydelige farer for både enkeltpersoner og organisasjoner:

• Innledende kompromiss : Skadevare som laster ned er ofte det første trinnet i et større angrep. Når den er installert, kan den stille ned og installere ytterligere skadelige nyttelaster, inkludert mer avansert skadelig programvare.
• Datatyveri : De ekstra nyttelastene som leveres av skadelig programvare fra nedlasteren kan inkludere informasjonstyvere som fanger opp private data, for eksempel påloggingsinformasjon, finansiell informasjon og personlige detaljer, noe som fører til identitetstyveri og økonomisk tap.
• Systemkapring : Noe skadelig programvare for nedlastere er utviklet for å distribuere fjerntilgangsverktøy eller bakdører, slik at angripere kan få kontroll over det infiserte systemet. Dette kan føre til uautorisert tilgang til bedriftsnettverk, datainnbrudd og ytterligere systemkompromittering.
• Utrulling av løsepengevare : Skadevare som laster ned, kan brukes til å installere løsepengeprogramvare, som kan kryptere et offers filer og kreve løsepenger for utgivelsen. Dette kan resultere i betydelig tap av data og driftsforstyrrelser.
• Økt sårbarhet : Når den er installert, kan skadelig programvare som laster ned, svekke systemforsvaret og skape sårbarheter som andre typer skadelig programvare kan utnytte. Dette gjør det lettere for angripere å distribuere farligere eller vedvarende trusler.
• Nettverksforplantning : Skadevare som laster ned, kan spre seg på tvers av nettverk, og infisere andre enheter og systemer i samme miljø. Dette kan forårsake omfattende skader og øke kompleksiteten i utbedringsarbeidet.
• Ressursforbruk : Skadevaren kan forbruke systemressurser som CPU og båndbredde, noe som fører til redusert ytelse og potensielle tjenesteavbrudd. Dette kan påvirke produktiviteten og øke driftskostnadene.
• Juridiske og overholdelsesrisikoer : Infiserte organisasjoner kan møte juridiske problemer og overholdelsesproblemer, spesielt hvis databruddet involverer sensitiv eller regulert informasjon. Dette kan resultere i bøter, rettslige handlinger og skade på omdømmet.

Samlet sett er skadelig programvare for nedlasting en alvorlig trussel på grunn av dens rolle i å tilrettelegge for ytterligere angrep og påvirke sikkerheten og integriteten til de berørte systemene og nettverkene.