Campo Loader

Campo Loader (of NLoader) is een malwarebedreiging die wordt gebruikt in aanvalscampagnes tegen Japanse entiteiten. Campo Loader fungeert als een bedreiging in een vroeg stadium die is ontworpen om de echte malware-payloads op de reeds gecompromitteerde computers te leveren. Er is waargenomen dat Campo Loader verschillende ladingen laat vallen, afhankelijk van de specifieke dreigingsacteur en hun specifieke doelen. De naam die aan de dreiging werd gegeven, was gebaseerd op een pad met daarin '/ campo /' dat wordt gebruikt tijdens de communicatie met de Command-and-Control-server (C2, C&C).

Nadat het is uitgevoerd, is de eerste taak van Campo Loader het maken van een map met een hardgecodeerde naam. De volgende stap is om te proberen de C2-server te bereiken. Voor dat doel stuurt de dreiging een string 'ping' via POST en wacht op inkomende reacties. De Openfield-server retourneert een URL als een reactie, maar voordat Campo Loader verder gaat met zijn bedreigende activiteiten, controleert hij of het bericht van de C2-servers begint met een 'h'. Als dit niet het geval is, beëindigt de malware het proces.

Anders wordt er opnieuw een tweede 'ping'-bericht naar de opgegeven URL verzonden met behulp van de POST-methode. Dit leidt ertoe dat een tweede payload wordt opgehaald door Campo Loader en wordt opgeslagen als een bestand op het gecompromitteerde systeem. De naam van het bestand is opnieuw hard gecodeerd in de dreiging. Vervolgens wordt rundll32.exe misbruikt om een functie met de naam 'DF' aan te roepen in het DLL-bestand dat is gedownload.

In eerdere versies van de aanvalscampagnes werd Campo Loader verspreid in de vorm van een .exe-bestand dat kon worden gedownload en uitgevoerd. Het voerde ook de payloads van de volgende fase, zoals Ursnif en Zloader, rechtstreeks uit. De meer recente variaties geven echter de voorkeur aan het gebruik van DLL-versies terwijl de geleverde payload is verschoven naar DFDownloader.