Multi-License Discount Quote
Bedreigingsdatabase Malware PEAKLIGHT-downloader

PEAKLIGHT-downloader

Tegen Mezo in Malware
Vertalen naar:
Nederlands

Cybersecurityonderzoekers hebben een nieuwe dropper ontdekt die is ontworpen om opeenvolgende malwarestadia te implementeren en uiteindelijk Windows-systemen te targeten met informatiedieven en loaders.

Deze memory-only dropper decodeert en voert een PowerShell-gebaseerde downloader uit, geïdentificeerd als PEAKLIGHT. De malwarestammen die via deze methode worden verspreid, zijn onder andere Lumma Stealer , Hijack Loader (ook bekend als DOILoader, IDAT Loader of SHADOWLADDER) en CryptBot , die allemaal worden aangeboden als onderdeel van een malware-as-a-service (MaaS)-model.

Initiële aanvalsvector en aanvalsketen

De aanvalsketen begint met een Windows-snelkoppelingsbestand (LNK) dat wordt gedownload via drive-by downloadmethoden, zoals wanneer gebruikers online naar films zoeken. Deze LNK-bestanden worden verpakt in ZIP-archieven, vermomd als gekopieerde films.

Nadat het is gedownload, maakt het LNK-bestand verbinding met een Content Delivery Network (CDN) dat een verduisterde, alleen-geheugen JavaScript-dropper host. Deze dropper voert vervolgens het PEAKLIGHT PowerShell-downloaderscript uit op de machine van het slachtoffer, dat op zijn beurt contact opneemt met een Command-and-Control (C2)-server om verdere payloads op te halen.

Onderzoekers hebben verschillende variaties van LNK-bestanden waargenomen, waarbij sommige sterretjes (*) als jokers gebruikten om het legitieme binaire bestand mshta.exe aan te roepen, waardoor de schadelijke code (d.w.z. de dropper) discreet vanaf een externe server kon worden uitgevoerd.

PEAKLIGHT verbergt zijn bedreigende actie achter legitieme films

Op dezelfde manier zijn de droppers gevonden die zowel hex-gecodeerde als Base64-gecodeerde PowerShell-payloads bevatten. Deze payloads worden uitgepakt om PEAKLIGHT uit te voeren, een tool die is ontworpen om latere malware op een geïnfecteerd systeem te implementeren en tegelijkertijd een legitieme filmtrailer te downloaden, waarschijnlijk als afleiding.

PEAKLIGHT functioneert als een verduisterde PowerShell-gebaseerde downloader binnen een multi-stage uitvoeringsketen. Het zoekt naar ZIP-archieven in specifieke hard-gecodeerde bestandspaden. Als deze archieven niet worden gevonden, neemt de downloader contact op met een CDN-site om het archiefbestand te downloaden en op de schijf op te slaan.

Dit is niet het eerste geval van malware die gebruikers target die op zoek zijn naar gekopieerde films. Begin juni 2024 ontdekten onderzoekers een geavanceerde infectieketen die resulteerde in de inzet van Hijack Loader na een poging om een videobestand te downloaden van een filmdownloadsite.

Downloaders openen de deur voor meer gespecialiseerde malware

Downloader-malware brengt een aantal grote gevaren met zich mee, zowel voor individuen als organisaties:

  • Initial Compromise : Downloader-malware is vaak de eerste fase van een grotere aanval. Eenmaal geïnstalleerd, kan het stilletjes aanvullende kwaadaardige payloads downloaden en installeren, waaronder meer geavanceerde malware.
  • Gegevensdiefstal : De extra ladingen die downloader-malware levert, kunnen informatiedieven bevatten die privégegevens buitmaken, zoals inloggegevens, financiële informatie en persoonlijke gegevens, wat kan leiden tot identiteitsdiefstal en financieel verlies.
  • Systeemkaping : Sommige downloader-malware is ontworpen om externe toegangstools of backdoors te implementeren, waardoor aanvallers controle krijgen over het geïnfecteerde systeem. Dit kan leiden tot ongeautoriseerde toegang tot bedrijfsnetwerken, datalekken en verdere systeemcompromissen.
  • Ransomware-implementatie : Downloader-malware kan worden gebruikt om ransomware te installeren, die de bestanden van een slachtoffer kan versleutelen en losgeld kan eisen voor hun vrijgave. Dit kan leiden tot aanzienlijk gegevensverlies en operationele verstoring.
  • Verhoogde kwetsbaarheid : Eenmaal geïnstalleerd, kan downloader-malware de systeemverdediging verzwakken en kwetsbaarheden creëren die andere typen malware kunnen misbruiken. Dit maakt het voor aanvallers gemakkelijker om gevaarlijkere of hardnekkigere bedreigingen te implementeren.
  • Netwerkpropagatie : Downloader-malware kan zich over netwerken verspreiden en andere apparaten en systemen binnen dezelfde omgeving infecteren. Dit kan wijdverspreide schade veroorzaken en de complexiteit van herstelpogingen vergroten.
  • Resource Drain : De malware kan systeembronnen zoals CPU en bandbreedte verbruiken, wat leidt tot slechtere prestaties en mogelijke service-uitval. Dit kan de productiviteit beïnvloeden en de operationele kosten verhogen.
  • Juridische en nalevingsrisico's : Geïnfecteerde organisaties kunnen te maken krijgen met juridische en nalevingsproblemen, vooral als de datalek gevoelige of gereguleerde informatie betreft. Dit kan leiden tot boetes, juridische acties en reputatieschade.

Over het algemeen vormt downloader-malware een ernstige bedreiging, omdat het verdere aanvallen mogelijk maakt en de veiligheid en integriteit van de getroffen systemen en netwerken aantast.

Trending

Meest bekeken

Bezig met laden...