巔峰之光下載器

網路安全研究人員發現了一種新穎的植入程序，旨在部署後續的惡意軟體階段，最終透過資訊竊取程序和載入程序針對 Windows 系統。

此僅記憶體釋放器解密並執行基於 PowerShell 的下載器（標識為 PEAKLIGHT）。透過此方法分發的惡意軟體菌株包括Lumma Stealer 、 Hijack Loader （也稱為 DOILoader、 IDAT Loader或 SHADOWLADDER）和CryptBot ，所有這些都作為惡意軟體即服務 (MaaS) 模型的一部分提供。

初始攻擊向量和攻擊鏈

攻擊鏈從 Windows 快捷方式 (LNK) 檔案開始，該檔案是透過偷渡式下載方法下載的，例如當使用者在線上搜尋電影時。這些 LNK 文件被打包在 ZIP 檔案中，偽裝成盜版電影。

下載後，LNK 檔案會連接到託管模糊的、僅內存 JavaScript dropper 的內容交付網路 (CDN)。然後，該植入程式會在受害者的電腦上執行 PEAKLIGHT PowerShell 下載程式腳本，該腳本又會聯絡命令與控制 (C2) 伺服器以擷取更多有效負載。

研究人員觀察到各種 LNK 檔案變體，其中一些使用星號 (*) 作為通配符來調用合法的 mshta.exe 二進位文件，從而允許從遠端伺服器謹慎地執行惡意程式碼（即植入程式）。

PEAKLIGHT 將其威脅行為隱藏在合法電影背後

同樣，我們發現該植入程式同時包含十六進位編碼和 Base64 編碼的 PowerShell 有效負載。這些有效負載被解壓以運行 PEAKLIGHT，這是一種旨在在受感染系統上部署後續惡意軟體的工具，同時也下載合法的電影預告片（可能作為誘餌）。

PEAKLIGHT 在多階段執行鏈中充當基於 PowerShell 的混淆下載器。它在特定的硬編碼檔案路徑中搜尋 ZIP 檔案。如果找不到這些存檔，下載程式會聯絡 CDN 網站下載存檔檔案並將其儲存到磁碟。

這並不是第一起針對搜尋盜版電影的使用者所採取的惡意軟體實例。 2024 年 6 月初，研究人員發現了一條複雜的感染鏈，該感染鏈導致在嘗試從電影下載網站下載影片檔案後部署 Hijack Loader。

下載者為更專業的惡意軟體打開了大門

下載器惡意軟體為個人和組織帶來了幾個重大危險：

• 初步妥協：下載惡意軟體通常是更大規模攻擊的第一階段。安裝後，它可以靜默下載並安裝其他惡意負載，包括更高級的惡意軟體。
• 資料竊取：下載器惡意軟體提供的額外有效負載可能包括捕獲私人資料（例如登入憑證、財務資訊和個人詳細資料）的資訊竊取程序，從而導致身分盜竊和財務損失。
• 系統劫持：某些下載器惡意軟體旨在部署遠端存取工具或後門，使攻擊者能夠控制受感染的系統。這可能會導致對公司網路的未經授權的存取、資料外洩以及進一步的系統危害。
• 勒索軟體部署：下載器惡意軟體可用於安裝勒索軟體，該勒索軟體可以加密受害者的檔案並要求支付贖金才能釋放檔案。這可能會導致大量資料遺失和營運中斷。
• 漏洞增加：下載惡意軟體一旦安裝，就會削弱系統防禦能力，並產生其他類型惡意軟體可以利用的漏洞。這使得攻擊者更容易部署更危險或持續的威脅。
• 網路傳播：下載器惡意軟體可以跨網路傳播，感染同一環境中的其他裝置和系統。這可能會造成廣泛的損害並增加修復工作的複雜性。
• 資源耗盡：惡意軟體會消耗 CPU 和頻寬等系統資源，導致效能下降和潛在的服務中斷。這會影響生產力並增加營運成本。
• 法律和合規風險：受感染的組織可能面臨法律和合規問題，特別是當資料外洩涉及敏感或受監管資訊時。這可能會導致罰款、法律訴訟和聲譽受損。

總體而言，下載器惡意軟體是一種嚴重威脅，因為它會促進進一步的攻擊並影響受影響系統和網路的安全性和完整性。