PEAKLIGHT Downloader

Raziskovalci kibernetske varnosti so odkrili novo kapalko, zasnovano za uvajanje poznejših stopenj zlonamerne programske opreme, ki končno cilja na sisteme Windows s krajci in nalagalci informacij.

Ta kapalka samo za pomnilnik dešifrira in zažene prenosnik, ki temelji na lupini PowerShell, označen kot PEAKLIGHT. Vrste zlonamerne programske opreme, ki se distribuirajo s to metodo, vključujejo Lumma Stealer , Hijack Loader (znan tudi kot DOILoader, IDAT Loader ali SHADOWLADDER) in CryptBot , ki so vse na voljo kot del modela malware-as-a-service (MaaS).

Začetni vektor napada in veriga napada

Veriga napadov se začne z datoteko z bližnjico Windows (LNK), ki se prenese z metodami prenosa s pogonom, na primer ko uporabniki iščejo filme na spletu. Te datoteke LNK so zapakirane v arhive ZIP, preoblečene v piratske filme.

Ko je datoteka LNK prenesena, se poveže z omrežjem za dostavo vsebine (CDN), ki gosti zakrito kapalko JavaScript, ki deluje samo v pomnilniku. Ta dropper nato izvede skript za prenos PEAKLIGHT PowerShell na računalniku žrtve, ki se nato poveže s strežnikom Command-and-Control (C2), da pridobi nadaljnje koristne obremenitve.

Raziskovalci so opazili različne različice datotek LNK, pri čemer so nekatere uporabljale zvezdice (*) kot nadomestne znake za priklic zakonite binarne datoteke mshta.exe, kar omogoča diskretno izvajanje zlonamerne kode (tj. dropperja) z oddaljenega strežnika.

PEAKLIGHT svoje grozeče dejanje skriva za zakonitimi filmi

Podobno je bilo ugotovljeno, da kapalke vsebujejo tako hex-kodirane kot Base64-kodirane koristne obremenitve lupine PowerShell. Ti koristni tovori so razpakirani za zagon PEAKLIGHT, orodja, zasnovanega za namestitev poznejše zlonamerne programske opreme v okužen sistem, hkrati pa prenesejo zakonit napovednik filma, verjetno kot vabo.

PEAKLIGHT deluje kot prikrit program za prenos na osnovi PowerShell znotraj večstopenjske izvedbene verige. Išče arhive ZIP v določenih trdo kodiranih poteh datotek. Če teh arhivov ni mogoče najti, se prenosnik obrne na spletno mesto CDN, da prenese arhivsko datoteko in jo shrani na disk.

To ni prvi primer zlonamerne programske opreme, ki cilja na uporabnike, ki iščejo piratske filme. V začetku junija 2024 so raziskovalci odkrili prefinjeno verigo okužb, ki je povzročila uvedbo programa Hijack Loader po poskusu prenosa video datoteke s spletnega mesta za prenos filmov.

Prenašalci odpirajo vrata za bolj specializirano zlonamerno programsko opremo

Zlonamerna programska oprema za prenose predstavlja več pomembnih nevarnosti za posameznike in organizacije:

• Začetni kompromis : zlonamerna programska oprema za prenos je pogosto prva stopnja večjega napada. Ko je nameščen, lahko tiho prenese in namesti dodatno zlonamerno koristno obremenitev, vključno z naprednejšo zlonamerno programsko opremo.
• Kraja podatkov : Dodatna obremenitev, ki jo zagotavlja zlonamerna programska oprema za prenos, lahko vključuje kraje informacij, ki zajamejo zasebne podatke, kot so poverilnice za prijavo, finančne informacije in osebni podatki, kar vodi do kraje identitete in finančne izgube.
• Ugrabitev sistema : nekatera zlonamerna programska oprema za prenos je zasnovana za uporabo orodij za oddaljeni dostop ali stranskih vrat, ki napadalcem omogočajo pridobitev nadzora nad okuženim sistemom. To lahko privede do nepooblaščenega dostopa do omrežij podjetij, kršitev podatkov in nadaljnjega ogrožanja sistema.
• Namestitev izsiljevalske programske opreme : zlonamerna programska oprema Downloader se lahko uporabi za namestitev izsiljevalske programske opreme, ki lahko šifrira datoteke žrtve in zahteva plačilo odkupnine za njihovo sprostitev. To lahko povzroči znatno izgubo podatkov in motnje delovanja.
• Povečana ranljivost : Ko je zlonamerna programska oprema za prenos nameščena, lahko oslabi obrambo sistema in ustvari ranljivosti, ki jih lahko izkoristijo druge vrste zlonamerne programske opreme. To napadalcem olajša uporabo nevarnejših ali trajnejših groženj.
• Omrežno širjenje : zlonamerna programska oprema za prenos se lahko razširi po omrežjih in okuži druge naprave in sisteme v istem okolju. To lahko povzroči obsežno škodo in poveča kompleksnost prizadevanj za sanacijo.
• Izčrpavanje virov : zlonamerna programska oprema lahko porabi sistemske vire, kot sta CPE in pasovna širina, kar povzroči poslabšano delovanje in morebitne izpade storitev. To lahko vpliva na produktivnost in poveča operativne stroške.
• Pravna tveganja in tveganja skladnosti : okužene organizacije se lahko soočijo s pravnimi težavami in težavami skladnosti, zlasti če kršitev podatkov vključuje občutljive ali zakonsko predpisane informacije. To lahko povzroči globe, pravne postopke in škodo ugleda.

Na splošno je zlonamerna programska oprema za prenose resna grožnja zaradi svoje vloge pri omogočanju nadaljnjih napadov in vplivanju na varnost in celovitost prizadetih sistemov in omrežij.