Trình tải xuống PEAKLIGHT

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại dropper mới được thiết kế để triển khai các giai đoạn phần mềm độc hại tiếp theo, cuối cùng nhắm vào các hệ thống Windows bằng trình đánh cắp và tải thông tin.

Dropper chỉ dành cho bộ nhớ này giải mã và chạy trình tải xuống dựa trên PowerShell, được xác định là PEAKLIGHT. Các chủng phần mềm độc hại được phân phối thông qua phương pháp này bao gồm Lumma Stealer , Hijack Loader (còn được gọi là DOILoader, IDAT Loader hoặc SHADOWLADDER) và CryptBot , tất cả đều được cung cấp như một phần của mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS).

Vectơ tấn công ban đầu và chuỗi tấn công

Chuỗi tấn công bắt đầu bằng tệp phím tắt Windows (LNK) được tải xuống thông qua các phương pháp tải xuống tự động, chẳng hạn như khi người dùng tìm kiếm phim trực tuyến. Các tệp LNK này được đóng gói trong các tệp ZIP được ngụy trang dưới dạng phim lậu.

Sau khi tải xuống, tệp LNK sẽ kết nối với Mạng phân phối nội dung (CDN) lưu trữ một trình thả JavaScript chỉ có trong bộ nhớ đã được làm tối nghĩa. Trình thả này sau đó thực thi tập lệnh tải xuống PEAKLIGHT PowerShell trên máy của nạn nhân, sau đó, máy này sẽ liên hệ với máy chủ Command-and-Control (C2) để truy xuất thêm các tải trọng.

Các nhà nghiên cứu đã quan sát thấy nhiều biến thể tệp LNK khác nhau, một số sử dụng dấu hoa thị (*) làm ký tự đại diện để gọi tệp nhị phân mshta.exe hợp pháp, cho phép mã độc (tức là chương trình thả) được thực thi một cách kín đáo từ máy chủ từ xa.

PEAKLIGHT Ẩn Hành Động Đe Dọa Của Nó Đằng Sau Những Bộ Phim Hợp Pháp

Tương tự như vậy, các dropper đã được phát hiện có chứa cả payload PowerShell được mã hóa hex và Base64. Các payload này được giải nén để chạy PEAKLIGHT, một công cụ được thiết kế để triển khai phần mềm độc hại tiếp theo trên hệ thống bị nhiễm đồng thời tải xuống đoạn giới thiệu phim hợp lệ, có thể là để làm mồi nhử.

PEAKLIGHT hoạt động như một trình tải xuống dựa trên PowerShell được che giấu trong chuỗi thực thi nhiều giai đoạn. Nó tìm kiếm các kho lưu trữ ZIP trong các đường dẫn tệp được mã hóa cứng cụ thể. Nếu không tìm thấy các kho lưu trữ này, trình tải xuống sẽ liên hệ với một trang web CDN để tải xuống tệp lưu trữ và lưu vào đĩa.

Đây không phải là trường hợp đầu tiên phần mềm độc hại nhắm vào người dùng tìm kiếm phim lậu. Vào đầu tháng 6 năm 2024, các nhà nghiên cứu đã phát hiện ra một chuỗi lây nhiễm tinh vi dẫn đến việc triển khai Hijack Loader sau khi cố gắng tải xuống tệp video từ một trang web tải xuống phim.

Trình tải xuống mở ra cánh cửa cho phần mềm độc hại chuyên biệt hơn

Phần mềm độc hại tải xuống gây ra một số mối nguy hiểm đáng kể cho cả cá nhân và tổ chức:

• Sự xâm phạm ban đầu : Phần mềm độc hại tải xuống thường là giai đoạn đầu tiên của một cuộc tấn công lớn hơn. Sau khi cài đặt, nó có thể âm thầm tải xuống và cài đặt thêm các phần mềm độc hại, bao gồm cả phần mềm độc hại tiên tiến hơn.
• Trộm cắp dữ liệu : Các phần mềm độc hại tải xuống có thể bao gồm những kẻ đánh cắp thông tin nhằm thu thập dữ liệu riêng tư, chẳng hạn như thông tin đăng nhập, thông tin tài chính và thông tin cá nhân, dẫn đến trộm cắp danh tính và mất mát tài chính.
• System Hijacking : Một số phần mềm độc hại tải xuống được thiết kế để triển khai các công cụ truy cập từ xa hoặc cửa hậu, cho phép kẻ tấn công giành quyền kiểm soát hệ thống bị nhiễm. Điều này có thể dẫn đến truy cập trái phép vào mạng công ty, vi phạm dữ liệu và xâm phạm hệ thống hơn nữa.
• Triển khai Ransomware : Phần mềm độc hại Downloader có thể được sử dụng để cài đặt ransomware, có thể mã hóa các tệp của nạn nhân và yêu cầu thanh toán tiền chuộc để giải phóng chúng. Điều này có thể dẫn đến mất dữ liệu đáng kể và gián đoạn hoạt động.
• Tăng lỗ hổng : Sau khi cài đặt, phần mềm độc hại tải xuống có thể làm suy yếu hệ thống phòng thủ và tạo ra lỗ hổng mà các loại phần mềm độc hại khác có thể khai thác. Điều này giúp kẻ tấn công dễ dàng triển khai các mối đe dọa nguy hiểm hoặc dai dẳng hơn.
• Lan truyền qua mạng : Phần mềm độc hại Downloader có thể lan truyền qua các mạng, lây nhiễm sang các thiết bị và hệ thống khác trong cùng một môi trường. Điều này có thể gây ra thiệt hại trên diện rộng và làm tăng tính phức tạp của các nỗ lực khắc phục.
• Resource Drain : Phần mềm độc hại có thể tiêu thụ tài nguyên hệ thống như CPU và băng thông, dẫn đến hiệu suất giảm và khả năng ngừng dịch vụ. Điều này có thể ảnh hưởng đến năng suất và tăng chi phí hoạt động.
• Rủi ro pháp lý và tuân thủ : Các tổ chức bị nhiễm có thể phải đối mặt với các vấn đề pháp lý và tuân thủ, đặc biệt nếu vi phạm dữ liệu liên quan đến thông tin nhạy cảm hoặc được quản lý. Điều này có thể dẫn đến tiền phạt, hành động pháp lý và tổn hại đến danh tiếng.

Nhìn chung, phần mềm độc hại tải xuống là mối đe dọa nghiêm trọng do nó có thể tạo điều kiện cho các cuộc tấn công tiếp theo và ảnh hưởng đến tính bảo mật và toàn vẹn của các hệ thống và mạng bị ảnh hưởng.