PEAKLIGHT Downloader
Os pesquisadores de segurança cibernética descobriram um novo dropper projetado para implantar estágios subsequentes de malware, visando sistemas Windows com ladrões e carregadores de informações.
Este dropper somente de memória descriptografa e executa um downloader baseado em PowerShell, identificado como PEAKLIGHT. As cepas de malware distribuídas por esse método incluem Lumma Stealer, Hijack Loader (também conhecido como DOILoader, IDAT Loader ou SHADOWLADDER) e CryptBot, todos oferecidos como parte de um modelo de malware como serviço (MaaS).
Índice
Vetor do Ataque Inicial e Cadeia de Ataque
A cadeia de ataque começa com um arquivo de atalho do Windows (LNK) que é baixado por meio de métodos de download drive-by, como quando os usuários pesquisam filmes online. Esses arquivos LNK são empacotados em arquivos ZIP disfarçados de filmes pirateados.
Uma vez baixado, o arquivo LNK se conecta a uma Content Delivery Network (CDN) que hospeda um dropper JavaScript ofuscado, somente de memória. Esse dropper então executa o script do PEAKLIGHT PowerShell downloader na máquina da vítima, que, por sua vez, contata um servidor Command-and-Control (C2) para recuperar mais payloads.
Pesquisadores observaram várias variações do arquivo LNK, com alguns usando asteriscos (*) como curingas para invocar o binário legítimo mshta.exe, permitindo que o código malicioso (ou seja, o dropper) seja executado discretamente de um servidor remoto.
O PEAKLIGHT Esconde Sua Ação Ameaçadora por Trás de Filmes Legítimos
Da mesma forma, descobriu-se que os droppers continham payloads PowerShell codificados em hexadecimal e em Base64. Esses payloads são descompactados para executar o PEAKLIGHT, uma ferramenta projetada para implantar malware subsequente em um sistema infectado enquanto também baixa um trailer de filme legítimo, provavelmente como uma isca.
O PEAKLIGHT funciona como um downloader ofuscado baseado em PowerShell dentro de uma cadeia de execução de vários estágios. Ele procura por arquivos ZIP em caminhos de arquivo codificados específicos. Se esses arquivos não forem encontrados, o downloader contata um site CDN para baixar o arquivo compactado e salvá-lo no disco.
Esta não é a primeira instância de malware visando usuários que buscam filmes pirateados. No início de junho de 2024, pesquisadores descobriram uma cadeia de infecção sofisticada que resultou na implantação do Hijack Loader após uma tentativa de baixar um arquivo de vídeo de um site de download de filmes.
Os Downloaders Abrem a Porta para Malwares Mais Especializados
O malware downloader representa vários perigos significativos para indivíduos e organizações:
- Comprometimento inicial : O malware downloader é frequentemente o primeiro estágio de um ataque maior. Uma vez instalado, ele pode silenciosamente baixar e instalar payloads maliciosos adicionais, incluindo malware mais avançado.
- Roubo de dados : As cargas adicionais entregues pelo malware de download podem incluir ladrões de informações que capturam dados privados, como credenciais de login, informações financeiras e detalhes pessoais, levando ao roubo de identidade e perdas financeiras.
- System Hijacking : Alguns malwares de download são projetados para implantar ferramentas de acesso remoto ou backdoors, permitindo que invasores obtenham controle sobre o sistema infectado. Isso pode levar a acesso não autorizado a redes corporativas, violações de dadownloader pode ser usado para instalar ransomware, que pode criptografar os arquivos da vítima e exigir um pagamento de resgate para sua liberação. Isso pode resultar em perda significativa de dados e interrupção operacional.
- Maior Vulnerabilidade : Uma vez instalado, o malware de download pode enfraquecer as defesas do sistema e criar vulnerabilidades que outros tipos de malware podem explorar. Isso torna mais fácil para os invasores implantarem ameaças mais perigosas ou persistentes.
- Propagação de rede : O malware downloader pode se espalhar por redes, infectando outros dispositivos e sistemas dentro do mesmo ambiente. Isso pode causar danos generalizados e aumentar a complexidade dos esforços de remediação.
- Dreno de Recursos : O malware pode consumir recursos do sistema, como CPU e largura de banda, levando à degradação do desempenho e possíveis interrupções de serviço. Isso pode afetar a produtividade e aumentar os custos operacionais.
- Riscos Legais e de Conformidade : Organizações infectadas podem enfrentar problemas legais e de conformidade, especialmente se a violação de dados envolver informações sensíveis ou regulamentadas. Isso pode resultar em multas, ações legais e danos à reputação.
No geral, o malware de download é uma ameaça séria devido ao seu papel em facilitar novos ataques e afetar a segurança e a integridade dos sistemas e redes afetados.
