Загрузчик PEAKLIGHT

Исследователи кибербезопасности обнаружили новый дропплер, предназначенный для развертывания последующих стадий вредоносного ПО, в конечном итоге нацеленного на системы Windows с помощью похитителей информации и загрузчиков.

Этот дроппер, работающий только с памятью, расшифровывает и запускает загрузчик на основе PowerShell, идентифицированный как PEAKLIGHT. Штаммы вредоносного ПО, распространяемые с помощью этого метода, включают Lumma Stealer , Hijack Loader (также известный как DOILoader, IDAT Loader или SHADOWLADDER) и CryptBot , все из которых предлагаются как часть модели вредоносного ПО как услуги (MaaS).

Первоначальный вектор атаки и цепочка атак

Цепочка атак начинается с файла ярлыка Windows (LNK), который загружается с помощью методов drive-by download, например, когда пользователи ищут фильмы в Интернете. Эти файлы LNK упакованы в архивы ZIP, замаскированные под пиратские фильмы.

После загрузки файл LNK подключается к сети доставки контента (CDN), которая размещает запутанный, работающий только в памяти JavaScript-дроппер. Затем этот дроппер выполняет скрипт загрузчика PEAKLIGHT PowerShell на машине жертвы, который, в свою очередь, связывается с сервером Command-and-Control (C2) для получения дополнительных полезных нагрузок.

Исследователи обнаружили различные вариации LNK-файлов, некоторые из которых используют звездочки (*) в качестве подстановочных знаков для вызова легитимного двоичного файла mshta.exe, что позволяет скрытно выполнить вредоносный код (т. е. дроппер) с удаленного сервера.

PEAKLIGHT скрывает свои угрожающие действия за легальными фильмами

Аналогичным образом, было обнаружено, что дропперы содержат как hex-кодированные, так и Base64-кодированные полезные нагрузки PowerShell. Эти полезные нагрузки распаковываются для запуска PEAKLIGHT, инструмента, предназначенного для развертывания последующего вредоносного ПО на зараженной системе, а также для загрузки легитимного трейлера фильма, вероятно, в качестве приманки.

PEAKLIGHT функционирует как запутанный загрузчик на основе PowerShell в многоступенчатой цепочке выполнения. Он ищет архивы ZIP в определенных жестко закодированных путях к файлам. Если эти архивы не найдены, загрузчик связывается с сайтом CDN для загрузки файла архива и сохранения его на диске.

Это не первый случай атаки вредоносного ПО на пользователей, ищущих пиратские фильмы. В начале июня 2024 года исследователи обнаружили сложную цепочку заражения, которая привела к развертыванию Hijack Loader после попытки загрузить видеофайл с сайта для загрузки фильмов.

Загрузчики открывают двери для более специализированного вредоносного ПО

Вредоносное ПО-загрузчик представляет ряд существенных опасностей как для отдельных лиц, так и для организаций:

• Начальная компрометация : вредоносное ПО-загрузчик часто является первым этапом более масштабной атаки. После установки оно может незаметно загружать и устанавливать дополнительные вредоносные нагрузки, включая более продвинутое вредоносное ПО.
• Кража данных : дополнительная полезная нагрузка, доставляемая вредоносным ПО-загрузчиком, может включать в себя похитители информации, которые захватывают конфиденциальные данные, такие как учетные данные для входа, финансовую информацию и личные данные, что приводит к краже личных данных и финансовым потерям.
• System Hijacking : некоторые вредоносные программы-загрузчики предназначены для развертывания инструментов удаленного доступа или бэкдоров, позволяющих злоумышленникам получить контроль над зараженной системой. Это может привести к несанкционированному доступу к корпоративным сетям, утечкам данных и дальнейшему взлому системы.
• Развертывание программ-вымогателей : вредоносное ПО-загрузчик может использоваться для установки программ-вымогателей, которые могут шифровать файлы жертвы и требовать выкуп за их освобождение. Это может привести к значительной потере данных и сбоям в работе.
• Повышенная уязвимость : После установки вредоносное ПО-загрузчик может ослабить защиту системы и создать уязвимости, которые могут использовать другие типы вредоносного ПО. Это облегчает злоумышленникам развертывание более опасных или постоянных угроз.
• Распространение по сети : вредоносное ПО-загрузчик может распространяться по сетям, заражая другие устройства и системы в той же среде. Это может привести к масштабному ущербу и усложнить усилия по исправлению ситуации.
• Утечка ресурсов : вредоносное ПО может потреблять системные ресурсы, такие как ЦП и пропускная способность, что приводит к снижению производительности и потенциальным сбоям в обслуживании. Это может повлиять на производительность и увеличить эксплуатационные расходы.
• Правовые и комплаенс-риски : Зараженные организации могут столкнуться с правовыми и комплаенс-проблемами, особенно если утечка данных касается конфиденциальной или регулируемой информации. Это может привести к штрафам, судебным искам и репутационному ущербу.

В целом, вредоносное ПО-загрузчик представляет собой серьезную угрозу, поскольку оно способствует дальнейшим атакам и влияет на безопасность и целостность затронутых систем и сетей.