Campo loader

O Campo Loader (ou NLoader) é uma ameaça de malware que está sendo aproveitada em campanhas de ataque contra entidades japonesas. O Campo Loader atua como uma ameaça em estágio inicial, projetada para entregar as cargas reais de malware aos computadores já comprometidos. Foi observado que o Campo Loader libera várias cargas diferentes, dependendo do agente de ameaça específico e de seus objetivos particulares. O nome dado à ameaça foi baseado em um caminho contendo '/campo/' que é usado durante a comunicação com o servidor de Comando e Controle (C2, C&C).

Depois de executado, a primeira tarefa do Campo Loader é criar um diretório com um nome embutido em código. A próxima etapa é tentar alcançar o servidor C2. Para isso, a ameaça envia uma string 'ping' via POST e aguarda as respostas recebidas. O servidor Openfield devolve um URL como resposta mas, antes do Campo Loader prosseguir com as suas atividades ameaçadoras, ele verifica se a mensagem dos servidores C2 começa com um 'h.' Se esse não for o caso, o malware encerra o processo.

Caso contrário, uma segunda mensagem de 'ping' será transmitida ao URL fornecido novamente, usando o método POST. Isso faz com que uma segunda carga útil seja buscada pelo Campo Loader e salva como um arquivo no sistema comprometido. O nome do arquivo é novamente codificado na ameaça. Em seguida, o rundll32.exe será abusado para chamar uma função chamada 'DF' no arquivo DLL que foi baixado.

Em versões anteriores das campanhas de ataque, o Campo Loader era distribuído na forma de um arquivo .exe que podia ser baixado e executado. Ele também executou as cargas úteis do próximo estágio, como o Ursnif e o Zloader diretamente. As variações mais recentes, no entanto, tendem a preferir o uso de versões DLL enquanto a carga útil entregue mudou para DFDownloader.