Descărcător PEAKLIGHT

Cercetătorii în domeniul securității cibernetice au descoperit un nou dropper conceput pentru a implementa etapele ulterioare de malware, țintind în cele din urmă sistemele Windows cu furturi și încărcători de informații.

Acest dropper numai pentru memorie decriptează și rulează un program de descărcare bazat pe PowerShell, identificat ca PEAKLIGHT. Tulpinile de malware distribuite prin această metodă includ Lumma Stealer , Hijack Loader (cunoscut și ca DOILoader, IDAT Loader sau SHADOWLADDER) și CryptBot , toate fiind oferite ca parte a unui model de malware-as-a-service (MaaS).

Vector de atac inițial și lanț de atac

Lanțul de atac începe cu un fișier de comandă rapidă Windows (LNK) care este descărcat prin metode de descărcare drive-by, cum ar fi atunci când utilizatorii caută filme online. Aceste fișiere LNK sunt ambalate în arhive ZIP deghizate în filme piratate.

Odată descărcat, fișierul LNK se conectează la o rețea de livrare a conținutului (CDN) care găzduiește un dropper JavaScript obscurcat, exclusiv pentru memorie. Acest dropper execută apoi scriptul de descărcare PEAKLIGHT PowerShell pe computerul victimei, care, la rândul său, contactează un server de comandă și control (C2) pentru a prelua încărcături utile suplimentare.

Cercetătorii au observat diferite variații ale fișierelor LNK, unele dintre ele folosind asteriscuri (*) ca metacaractere pentru a invoca binarul legitim mshta.exe, permițând executarea discretă a codului rău intenționat (adică dropper-ul) de pe un server la distanță.

PEAKLIGHT își ascunde acțiunea amenințătoare în spatele filmelor legitime

În mod similar, s-a descoperit că dropperurile conțin atât încărcături utile PowerShell codificate hex, cât și codificate Base64. Aceste încărcări utile sunt dezambalate pentru a rula PEAKLIGHT, un instrument conceput pentru a implementa programe malware ulterioare pe un sistem infectat, în timp ce descarcă un trailer de film legitim, probabil ca o momeală.

PEAKLIGHT funcționează ca un descărcator obscur bazat pe PowerShell într-un lanț de execuție în mai multe etape. Acesta caută arhive ZIP în anumite căi de fișiere codificate. Dacă aceste arhive nu sunt găsite, descărcatorul contactează un site CDN pentru a descărca fișierul arhivă și a-l salva pe disc.

Acesta nu este primul caz de malware care vizează utilizatorii care caută filme piratate. La începutul lunii iunie 2024, cercetătorii au descoperit un lanț sofisticat de infecții care a dus la implementarea Hijack Loader în urma încercării de a descărca un fișier video de pe un site de descărcare a filmelor.

Descărcătoarele deschid ușa pentru programe malware mai specializate

Programele malware pentru descărcare prezintă mai multe pericole semnificative atât pentru persoane fizice, cât și pentru organizații:

• Compromis inițial : malware-ul de descărcare este adesea prima etapă a unui atac mai mare. Odată instalat, poate descărca și instala în tăcere încărcături utile rău intenționate, inclusiv programe malware mai avansate.
• Furtul de date : încărcăturile suplimentare furnizate de malware de descărcare pot include furturi de informații care captează date private, cum ar fi acreditările de conectare, informații financiare și detalii personale, ceea ce duce la furtul de identitate și pierderea financiară.
• Deturnarea sistemului : Unele programe malware de descărcare sunt concepute pentru a implementa instrumente de acces la distanță sau uși din spate, permițând atacatorilor să obțină controlul asupra sistemului infectat. Acest lucru poate duce la acces neautorizat la rețelele corporative, încălcări ale datelor și compromisuri suplimentare ale sistemului.
• Implementare de ransomware : programul malware de descărcare poate fi utilizat pentru a instala ransomware, care poate cripta fișierele unei victime și poate solicita o plată de răscumpărare pentru eliberarea acestora. Acest lucru poate duce la pierderi semnificative de date și întreruperi operaționale.
• Vulnerabilitate crescută : Odată instalat, malware-ul de descărcare poate slăbi apărarea sistemului și poate crea vulnerabilități pe care alte tipuri de malware le pot exploata. Acest lucru face mai ușor pentru atacatori să implementeze amenințări mai periculoase sau persistente.
• Propagare în rețea : malware-ul de descărcare se poate răspândi în rețele, infectând alte dispozitive și sisteme din același mediu. Acest lucru poate cauza daune larg răspândite și poate crește complexitatea eforturilor de remediere.
• Evacuarea resurselor : malware-ul poate consuma resurse de sistem, cum ar fi CPU și lățime de bandă, ceea ce duce la o performanță degradată și la posibile întreruperi ale serviciului. Acest lucru poate afecta productivitatea și poate crește costurile operaționale.
• Riscuri legale și de conformitate : organizațiile infectate se pot confrunta cu probleme legale și de conformitate, mai ales dacă încălcarea datelor implică informații sensibile sau reglementate. Acest lucru poate duce la amenzi, acțiuni legale și daune reputației.

În general, malware-ul de descărcare este o amenințare serioasă datorită rolului său de a facilita alte atacuri și de a afecta securitatea și integritatea sistemelor și rețelelor afectate.