Program do pobierania PEAKLIGHT

Do Mezo w Malware

Przetłumacz na:

Badacze zajmujący się cyberbezpieczeństwem odkryli nowy program służący do wdrażania kolejnych etapów złośliwego oprogramowania, którego ostatecznym celem są systemy Windows za pomocą programów kradnących i ładujących informacje.

Ten dropper działający tylko w pamięci odszyfrowuje i uruchamia oparty na PowerShellu program do pobierania, zidentyfikowany jako PEAKLIGHT. Szczepy złośliwego oprogramowania dystrybuowane tą metodą obejmują Lumma Stealer , Hijack Loader (znany również jako DOILoader, IDAT Loader lub SHADOWLADDER) i CryptBot , które są oferowane jako część modelu malware-as-a-service (MaaS).

Spis treści

Początkowy wektor ataku i łańcuch ataku

Łańcuch ataku zaczyna się od pliku skrótu Windows (LNK), który jest pobierany za pomocą metod drive-by download, np. gdy użytkownicy szukają filmów online. Te pliki LNK są pakowane w archiwach ZIP zamaskowanych jako pirackie filmy.

Po pobraniu plik LNK łączy się z siecią dostarczania treści (CDN), która hostuje zaciemniony dropper JavaScript działający tylko w pamięci. Dropper ten uruchamia następnie skrypt pobierania PEAKLIGHT PowerShell na komputerze ofiary, który z kolei kontaktuje się z serwerem Command-and-Control (C2), aby pobrać dalsze ładunki.

Badacze zaobserwowali różne warianty pliku LNK, w niektórych z których zastosowano gwiazdki (*) jako symbole wieloznaczne w celu wywołania prawidłowego pliku binarnego mshta.exe, co pozwala na dyskretne uruchomienie złośliwego kodu (tj. droppera) ze zdalnego serwera.

PEAKLIGHT ukrywa swoje groźne działania za legalnymi filmami

Podobnie, droppery zawierają zarówno zakodowane heksadecymalnie, jak i zakodowane Base64 ładunki PowerShell. Ładunki te są rozpakowywane w celu uruchomienia PEAKLIGHT, narzędzia zaprojektowanego do wdrażania kolejnego złośliwego oprogramowania w zainfekowanym systemie, a także pobierania legalnego zwiastuna filmu, prawdopodobnie jako przynęty.

PEAKLIGHT działa jako zaciemniony downloader oparty na PowerShell w wieloetapowym łańcuchu wykonawczym. Wyszukuje archiwa ZIP w określonych zakodowanych ścieżkach plików. Jeśli te archiwa nie zostaną znalezione, downloader kontaktuje się z witryną CDN, aby pobrać plik archiwum i zapisać go na dysku.

To nie pierwszy przypadek złośliwego oprogramowania atakującego użytkowników szukających pirackich filmów. Na początku czerwca 2024 r. badacze odkryli wyrafinowany łańcuch infekcji, który doprowadził do wdrożenia Hijack Loader po próbie pobrania pliku wideo ze strony pobierania filmów.

Programy do pobierania otwierają drzwi dla bardziej wyspecjalizowanego złośliwego oprogramowania

Oprogramowanie typu downloader stwarza szereg poważnych zagrożeń zarówno dla osób fizycznych, jak i organizacji:

Początkowe zagrożenie : złośliwe oprogramowanie Downloader jest często pierwszym etapem większego ataku. Po zainstalowaniu może ono dyskretnie pobierać i instalować dodatkowe złośliwe ładunki, w tym bardziej zaawansowane złośliwe oprogramowanie.
Kradzież danych : Dodatkowe ładunki dostarczane przez złośliwe oprogramowanie mogą obejmować oprogramowanie kradnące informacje, które przechwytuje prywatne dane, takie jak dane logowania, informacje finansowe i dane osobowe, co może prowadzić do kradzieży tożsamości i strat finansowych.
Przejęcie kontroli nad systemem : Niektóre złośliwe oprogramowanie typu downloader jest zaprojektowane do wdrażania narzędzi zdalnego dostępu lub tylnych drzwi, umożliwiając atakującym przejęcie kontroli nad zainfekowanym systemem. Może to prowadzić do nieautoryzowanego dostępu do sieci korporacyjnych, naruszeń danych i dalszego naruszenia bezpieczeństwa systemu.
Wdrożenie oprogramowania ransomware : Oprogramowanie Downloader może być używane do instalowania oprogramowania ransomware, które może szyfrować pliki ofiary i żądać zapłaty okupu za ich uwolnienie. Może to skutkować znaczną utratą danych i zakłóceniami operacyjnymi.
Zwiększona podatność : Po zainstalowaniu malware downloader może osłabić obronę systemu i stworzyć luki, które mogą zostać wykorzystane przez inne typy malware. Ułatwia to atakującym wdrażanie bardziej niebezpiecznych lub trwałych zagrożeń.
Propagacja sieciowa : złośliwe oprogramowanie Downloader może rozprzestrzeniać się w sieciach, infekując inne urządzenia i systemy w tym samym środowisku. Może to powodować rozległe szkody i zwiększać złożoność działań naprawczych.
Wyczerpywanie zasobów : złośliwe oprogramowanie może zużywać zasoby systemowe, takie jak procesor i przepustowość, co prowadzi do pogorszenia wydajności i potencjalnych przerw w świadczeniu usług. Może to wpłynąć na produktywność i zwiększyć koszty operacyjne.
Ryzyko prawne i zgodności : Zainfekowane organizacje mogą napotkać problemy prawne i zgodności, zwłaszcza jeśli naruszenie danych dotyczy poufnych lub regulowanych informacji. Może to skutkować grzywnami, działaniami prawnymi i szkodami dla reputacji.

Ogólnie rzecz biorąc, złośliwe oprogramowanie typu downloader stanowi poważne zagrożenie ze względu na jego rolę w ułatwianiu dalszych ataków oraz wpływaniu na bezpieczeństwo i integralność zainfekowanych systemów i sieci.

SpyHunter dla Windows firmy EnigmaSoft uzyskał certyfikat AV-TEST

Szukaj

Zmieniać region

Program do pobierania PEAKLIGHT

Początkowy wektor ataku i łańcuch ataku

PEAKLIGHT ukrywa swoje groźne działania za legalnymi filmami

Programy do pobierania otwierają drzwi dla bardziej wyspecjalizowanego złośliwego oprogramowania

Prześlij komentarz

Popularne

Malware na stronie internetowej z pornografią

Womadds.com

Numer telefonu został dodany do Twojego konta....

Najczęściej oglądane

Discord pokazuje czarny ekran podczas udostępniania...

Co to jest Msedge.exe?

Jak naprawić błąd „Sterownik drukarki jest niedostępny”