Campo Loader

Campo Loader (eller NLoader) är ett hot mot skadlig programvara som används i attackkampanjer mot japanska enheter. Campo Loader fungerar som ett hot i ett tidigt skede som är utformat för att leverera riktiga skadliga nyttolast på de redan komprometterade datorerna. Campo Loader har observerats tappa flera olika nyttolast, beroende på den specifika hotaktören och deras specifika mål. Namnet på hotet baserades på en sökväg som innehåller '/ campo /' som används under kommunikationen med Command-and-Control (C2, C&C) servern.

Efter att ha körts är Campo Loaders första uppgift att skapa en katalog med ett hårdkodat namn. Nästa steg är att försöka nå C2-servern. För detta ändamål skickar hotet en sträng 'ping' via POST och väntar på inkommande svar. Openfield-servern returnerar en URL som ett svar men innan Campo Loader fortsätter med sina hotande aktiviteter kontrollerar den om meddelandet från C2-servrarna börjar med ett "h". Om den inte gör det avslutar skadlig programvara processen.

Annars sänds ett andra "ping" -meddelande till den angivna URL: en igen med POST-metoden. Detta leder till att en andra nyttolast hämtas av Campo Loader och sparas som en fil på det komprometterade systemet. Filens namn är återigen hårdkodat i hotet. Då missbrukas rundll32.exe för att anropa en funktion med namnet 'DF' i DLL-filen som laddades ner.

I tidigare versioner av attackkampanjerna distribuerades Campo Loader i form av en .exe-fil som kunde laddas ner och köras. Den körde också nästa stegs nyttolaster som Ursnif och Zloader direkt. De senaste variationerna tenderar dock att föredra att använda DLL-versioner medan den levererade nyttolasten har flyttats till DFDownloader.