Especialistas descobrem novo malware evasivo do SquidLoader direcionado a organizações chinesas
![malware](https://i2.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9LbUE7vSJy3jeN_7qMCfC2_B4Nr4W57_P3sA-Esu-nFUKx1HKKOmwHzf2-jA_yzMVhsT2DYuUkZAsrefzVGmolZXGVambmGfKT8lw5qTFC7J0qZi0t9U_3tXqF2KqFh1f1BWG_Wd6M0dYsOIAZdwuIU-L2_iQQrSqxbDXwzLmqgWVkDP12IXOvtQ0ahyphenhypheni/s728-rw-e365/malware.png?w=780&resize=780,470&ssl=1)
![Malware Squid Loader Malware Squid Loader](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9LbUE7vSJy3jeN_7qMCfC2_B4Nr4W57_P3sA-Esu-nFUKx1HKKOmwHzf2-jA_yzMVhsT2DYuUkZAsrefzVGmolZXGVambmGfKT8lw5qTFC7J0qZi0t9U_3tXqF2KqFh1f1BWG_Wd6M0dYsOIAZdwuIU-L2_iQQrSqxbDXwzLmqgWVkDP12IXOvtQ0ahyphenhypheni/s728-rw-e365/malware.png)
Pesquisadores de segurança cibernética descobriram um novo carregador de malware evasivo chamado Squid Loader que se espalha por meio de campanhas de phishing direcionadas a organizações chinesas.
O AT&T LevelBlue Labs, que observou o malware pela primeira vez no closing de abril de 2024, disse que ele incorpora recursos projetados para impedir análises estáticas e dinâmicas e, em última análise, evitar a detecção.
As cadeias de ataque aproveitam e-mails de phishing que vêm com anexos disfarçados de documentos do Microsoft Phrase, mas, na realidade, são binários que abrem o caminho para a execução do malware, que é então usado para buscar cargas úteis de shellcode de segundo estágio de um servidor remoto, incluindo Cobalt Strike.
“Esses carregadores apresentam mecanismos pesados de evasão e isca que os ajudam a permanecer indetectados, ao mesmo tempo que dificultam a análise”, disse o pesquisador de segurança Fernando Dominguez. “O shellcode entregue também é carregado no mesmo processo do carregador, provavelmente para evitar a gravação da carga no disco e, portanto, correr o risco de ser detectado.”
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPFFLXZHfTA0FUmsAJ30SeqiM34x3Qes8BjBSTnhm4zHUJUal87CZLGZFJ7f5vxdaZIyNeTzf7fA-8s0CQhiG9ltxRFReWpgvmp2VfSMbjmN8i0yCv_74a3h7HaGxNlFqr5LEyPghIcxNNfXkksw3nQvKsqKKAU4wsl5Ll9UKu2hv6fbtXy4PHGNBW8SxC/s1200/a_d.png)
Algumas das técnicas de evasão defensiva adotadas pelo SquidLoader abrangem o uso de segmentos de código criptografados, código inútil que permanece sem uso, ofuscação do Management Movement Graph (CFG), detecção de depurador e execução de syscalls diretos em vez de chamar APIs do Home windows NT.
O malware Loader se tornou uma mercadoria standard no submundo do crime para agentes de ameaças que buscam entregar e lançar cargas adicionais para hosts comprometidos, enquanto contornam as defesas antivírus e outras medidas de segurança.
No ano passado, o incidente Stroz Friedberg da Aon detalhou um carregador conhecido como Taurus Loader que foi observado distribuindo o ladrão de informações Taurus, bem como o AgentVX, um trojan com capacidade para executar mais malware e configurar persistência usando alterações no Registro do Home windows e coletar dados.
O desenvolvimento ocorre no momento em que uma nova análise aprofundada de um carregador de malware e backdoor conhecido como PikaBot destacou que ele continua a ser desenvolvido ativamente por seus desenvolvedores desde seu surgimento em fevereiro de 2023.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNS3KFIZ1kUzX9UAyIXkbApCqvKVe4YB7J7YxS5pyT89_UulKpYdfjxFzpEtKx1mkKxptph1SCYggLbhJDkGbKinHSktbbkeXeYBqil8kXuFRmXI-z3FdKj2qTdIYb5vdqZ-mb_NBp3AMTlAP7s4X9r14mq7rDBORzMWvL3CWY8vfZXFKBhdl3-x0BxK89/s728-e365/ad-d.jpg)
“O malware emprega técnicas avançadas de anti-análise para evitar a detecção e fortalecer a análise, incluindo verificações de sistema, syscalls indiretos, criptografia de próximo estágio e strings e resolução dinâmica de API”, disse Sekoia. “As atualizações recentes do malware aprimoraram ainda mais suas capacidades, tornando ainda mais desafiador detectá-lo e mitigá-lo”.
Ele também segue as descobertas da BitSight de que a infraestrutura relacionada a outro malware carregador chamado Latrodectus ficou offline na sequência de um esforço de aplicação da lei denominado Operação Endgame que viu mais de 100 servidores de botnet, incluindo aqueles associados a IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot, desmontado.
A empresa de segurança cibernética disse ter observado quase 5.000 vítimas distintas espalhadas por 10 campanhas diferentes, com a maioria das vítimas localizadas nos EUA, Reino Unido, Holanda, Polónia, França, Chéquia, Japão, Austrália, Alemanha e Canadá.