PEAKLIGHT Downloader

Natuklasan ng mga mananaliksik sa cybersecurity ang isang nobelang dropper na idinisenyo upang mag-deploy ng mga kasunod na yugto ng malware, sa huli ay tina-target ang mga Windows system na may mga nagnanakaw ng impormasyon at mga loader.

Ang memory-only dropper na ito ay nagde-decrypt at nagpapatakbo ng PowerShell-based na downloader, na kinilala bilang PEAKLIGHT. Kasama sa mga strain ng malware na ipinamahagi sa pamamagitan ng paraang ito ang Lumma Stealer , Hijack Loader (kilala rin bilang DOILoader, IDAT Loader, o SHADOWLADDER), at CryptBot , na lahat ay inaalok bilang bahagi ng isang malware-as-a-service (MaaS) na modelo.

Paunang Attack Vector at Attack Chain

Nagsisimula ang attack chain sa isang Windows shortcut (LNK) file na dina-download sa pamamagitan ng drive-by na mga paraan ng pag-download, gaya ng kapag naghahanap ang mga user ng mga pelikula online. Ang mga LNK file na ito ay naka-package sa ZIP archive na itinago bilang mga pirated na pelikula.

Kapag na-download na, kumokonekta ang LNK file sa isang Content Delivery Network (CDN) na nagho-host ng obfuscated, memory-only JavaScript dropper. Isinasagawa ng dropper na ito ang PEAKLIGHT PowerShell downloader script sa makina ng biktima, na, sa turn, ay nakikipag-ugnayan sa isang Command-and-Control (C2) server upang makakuha ng karagdagang mga payload.

Naobserbahan ng mga mananaliksik ang iba't ibang mga variation ng LNK file, na ang ilan ay gumagamit ng mga asterisk (*) bilang mga wildcard upang gamitin ang lehitimong mshta.exe binary, na nagpapahintulot sa malisyosong code (ibig sabihin, ang dropper) na maingat na maisakatuparan mula sa isang malayong server.

Itinago ng PEAKLIGHT ang Pagbabantang Aksyon Nito sa likod ng Mga Lehitimong Pelikula

Katulad nito, ang mga dropper ay natagpuang naglalaman ng parehong hex-encode at Base64-encoded PowerShell payloads. Ang mga payload na ito ay na-unpack upang patakbuhin ang PEAKLIGHT, isang tool na idinisenyo upang mag-deploy ng kasunod na malware sa isang nahawaang system habang nagda-download din ng isang lehitimong trailer ng pelikula, na malamang bilang isang decoy.

Ang PEAKLIGHT ay gumagana bilang isang obfuscated na PowerShell-based na downloader sa loob ng multi-stage execution chain. Hinahanap nito ang mga ZIP archive sa mga partikular na hard-coded file path. Kung hindi matagpuan ang mga archive na ito, makikipag-ugnayan ang downloader sa isang CDN site upang i-download ang archive file at i-save ito sa disk.

Hindi ito ang unang pagkakataon ng malware na nagta-target sa mga user na naghahanap ng mga pirated na pelikula. Noong unang bahagi ng Hunyo 2024, natuklasan ng mga mananaliksik ang isang sopistikadong chain ng impeksyon na nagresulta sa pag-deploy ng Hijack Loader kasunod ng pagtatangkang mag-download ng video file mula sa isang site sa pag-download ng pelikula.

Binuksan ng mga Downloader ang Pinto para sa Higit pang Espesyalistang Malware

Ang downloader malware ay nagdudulot ng ilang makabuluhang panganib sa mga indibidwal at organisasyon:

• Initial Compromise : Ang nag-download na malware ay kadalasang unang yugto ng mas malaking pag-atake. Kapag na-install na, maaari itong tahimik na mag-download at mag-install ng mga karagdagang nakakahamak na payload, kabilang ang mas advanced na malware.
• Pagnanakaw ng Data : Ang mga karagdagang payload na inihatid ng downloader malware ay maaaring magsama ng mga nagnanakaw ng impormasyon na kumukuha ng pribadong data, gaya ng mga kredensyal sa pag-log in, impormasyon sa pananalapi, at mga personal na detalye, na humahantong sa pagnanakaw ng pagkakakilanlan at pagkawala ng pananalapi.
• Pag-hijack ng System : Ang ilang downloader malware ay idinisenyo upang mag-deploy ng mga remote access tool o backdoors, na nagpapahintulot sa mga attacker na makakuha ng kontrol sa nahawaang system. Maaari itong humantong sa hindi awtorisadong pag-access sa mga corporate network, mga paglabag sa data, at karagdagang kompromiso sa system.
• Ransomware Deployment : Maaaring gamitin ang Downloader malware upang mag-install ng ransomware, na maaaring mag-encrypt ng mga file ng biktima at humiling ng ransom na pagbabayad para sa kanilang paglabas. Maaari itong magresulta sa malaking pagkawala ng data at pagkagambala sa pagpapatakbo.
• Tumaas na Kahinaan : Kapag na-install na, ang downloader malware ay maaaring magpahina ng mga depensa ng system at lumikha ng mga kahinaan na maaaring pagsamantalahan ng ibang mga uri ng malware. Ginagawa nitong mas madali para sa mga umaatake na mag-deploy ng mas mapanganib o patuloy na mga banta.
• Network Propagation : Maaaring kumalat ang downloader malware sa mga network, na nakakahawa sa iba pang mga device at system sa loob ng parehong kapaligiran. Maaari itong magdulot ng malawakang pinsala at dagdagan ang pagiging kumplikado ng mga pagsisikap sa remediation.
• Resource Drain : Maaaring kumonsumo ng mga mapagkukunan ng system ang malware gaya ng CPU at bandwidth, na humahantong sa masamang pagganap at potensyal na pagkawala ng serbisyo. Maaari itong makaapekto sa pagiging produktibo at mapataas ang mga gastos sa pagpapatakbo.
• Mga Panganib sa Legal at Pagsunod : Ang mga nahawaang organisasyon ay maaaring humarap sa mga isyu sa legal at pagsunod, lalo na kung ang paglabag sa data ay nagsasangkot ng sensitibo o kinokontrol na impormasyon. Maaari itong magresulta sa mga multa, legal na aksyon, at pinsala sa reputasyon.

Sa pangkalahatan, ang downloader malware ay isang seryosong banta dahil sa papel nito sa pagpapadali sa higit pang pag-atake at pag-apekto sa seguridad at integridad ng mga apektadong system at network.