SnatchLoader

O SnatchLoader é conhecido como malware downloader - é responsável por entregar ameaças de malware adicionais em uma máquina que já conseguiu comprometer. O desenvolvimento do SnatchLoader passou por um período de baixa atividade, mas a ameaça foi observada como parte de campanhas de ataque ativo, como a entrega do Trojan Bancário Ramnit. Embora não seja o único, uma característica curiosa desse malware de download é que ele é equipado com 'bloqueio geográfico'. Na prática, isso resulta na execução do malware em alguns países, enquanto, em outros, ele simplesmente se extingue. Os pesquisadores que analisaram uma amostra do SnatchLoader determinaram que o Reino Unido e a Itália estavam entre os alvos viáveis, enquanto os usuários na França, Estados Unidos e Hong Kong estavam seguros.

Para realizar chamadas de API do Windows, SnatchLoader usa um hashing de nome de função em tempo de execução. Quanto ao manuseio da comunicação com sua infraestrutura de Comando e Controle (C2, C&C), utiliza HTTPS. Quatro tipos diferentes de solicitação foram isolados por pesquisadores da Infosec.

Primeiro, SnatchLoader faz uma solicitação de 'obter configuração dinâmica', seguida por uma solicitação de 'enviar informações do sistema'. Nesta etapa, o malware envia vários dados do sistema para o servidor dos hackers. Entre os dados exfiltrados estão detalhes como versões do Windows, arquitetura, nome de usuário, nome do computador, agente do usuário, lista de processos, etc.

Para verificar os comandos dos hackers, o SnatchLoader faz uma solicitação de 'votação de comando'. Devido à sua natureza de carregador, os comandos destinam-se principalmente a várias maneiras de baixar e executar módulos de malware adicionais - executados normalmente, injetados no explorer.exe ou executados via rundll32. Os pesquisadores também observaram uma funcionalidade de plug-in do SnatchLoader para uma ameaça de mineração criptográfica Monero. A última solicitação ao C2 é usada para enviar os resultados da execução de um comando específico.