PEAKLIGHT 下载器

网络安全研究人员发现了一种新型投放器，旨在部署后续恶意软件阶段，最终利用信息窃取程序和加载程序瞄准 Windows 系统。

这个仅存在于内存中的植入程序会解密并运行一个基于 PowerShell 的下载程序，该程序被标识为 PEAKLIGHT。通过这种方法传播的恶意软件包括Lumma Stealer 、Hijack Loader（也称为 DOILoader、 IDAT Loader或 SHADOWLADDER）和CryptBot ，所有这些都是作为恶意软件即服务 (MaaS) 模型的一部分提供的。

初始攻击向量和攻击链

攻击链始于通过驱动下载方法下载的 Windows 快捷方式 (LNK) 文件，例如当用户在线搜索电影时。这些 LNK 文件被打包在伪装成盗版电影的 ZIP 档案中。

下载后，LNK 文件会连接到内容分发网络 (CDN)，该网络托管一个经过混淆、仅存在于内存中的 JavaScript 植入程序。然后，该植入程序会在受害者的计算机上执行 PEAKLIGHT PowerShell 下载程序脚本，然后该脚本会联系命令和控制 (C2) 服务器以检索更多有效载荷。

研究人员观察到各种 LNK 文件变体，其中一些使用星号 (*) 作为通配符来调用合法的 mshta.exe 二进制文件，从而允许从远程服务器谨慎地执行恶意代码（即投放器）。

PEAKLIGHT 将其威胁行为隐藏在合法电影背后

类似地，我们发现这些植入程序包含十六进制编码和 Base64 编码的 PowerShell 有效载荷。这些有效载荷被解压以运行 PEAKLIGHT，这是一种旨在在受感染的系统上部署后续恶意软件的工具，同时还会下载合法的电影预告片，可能是作为诱饵。

PEAKLIGHT 充当多阶段执行链中的基于 PowerShell 的混淆下载程序。它在特定的硬编码文件路径中搜索 ZIP 存档。如果找不到这些存档，下载程序将联系 CDN 站点下载存档文件并将其保存到磁盘。

这并不是恶意软件第一次针对搜索盗版电影的用户。2024 年 6 月初，研究人员发现了一个复杂的感染链，在用户尝试从电影下载网站下载视频文件后，该感染链导致部署了 Hijack Loader。

下载器为更多专业恶意软件打开大门

下载器恶意软件对个人和组织都构成了几个重大危险：

• 初始攻击：下载器恶意软件通常是大规模攻击的第一阶段。一旦安装，它可以悄无声息地下载并安装其他恶意负载，包括更高级的恶意软件。
• 数据盗窃：下载器恶意软件提供的额外有效载荷可能包括获取私人数据（例如登录凭据、财务信息和个人详细信息）的信息窃取程序，从而导致身份盗窃和财务损失。
• 系统劫持：某些下载器恶意软件旨在部署远程访问工具或后门，使攻击者能够控制受感染的系统。这可能导致未经授权访问公司网络、数据泄露和进一步的系统入侵。
• 勒索软件部署：下载器恶意软件可用于安装勒索软件，该软件可以加密受害者的文件并要求支付赎金才能释放文件。这可能导致大量数据丢失和运营中断。
• 漏洞增加：下载器恶意软件一旦安装，就会削弱系统防御能力，并产生其他类型的恶意软件可以利用的漏洞。这使攻击者更容易部署更危险或更持久的威胁。
• 网络传播：下载器恶意软件可以通过网络传播，感染同一环境中的其他设备和系统。这可能会造成大面积破坏，并增加补救工作的复杂性。
• 资源消耗：恶意软件会消耗 CPU 和带宽等系统资源，导致性能下降和潜在的服务中断。这会影响生产力并增加运营成本。
• 法律和合规风险：受感染的组织可能面临法律和合规问题，尤其是当数据泄露涉及敏感或受监管信息时。这可能导致罚款、法律诉讼和声誉损害。

总体而言，下载器恶意软件是一种严重的威胁，因为它有助于进一步攻击并影响受影响系统和网络的安全性和完整性。