Pesquisadores de segurança cibernética descobriram um dropper nunca antes visto que serve como um canal para lançar malware de próxima fase com o objetivo ultimate de infectar sistemas Home windows com ladrões e carregadores de informações.
“Este dropper somente de memória descriptografa e executa um downloader baseado em PowerShell”, disse a Mandiant, de propriedade do Google. “Este downloader baseado em PowerShell está sendo rastreado como PEAKLIGHT.”
Algumas das cepas de malware distribuídas usando essa técnica são Lumma Stealer, Hijack Loader (também conhecido como DOILoader, IDAT Loader ou SHADOWLADDER) e CryptBot, todos anunciados sob o modelo de malware como serviço (SaaS).
O ponto de partida da cadeia de ataque é um arquivo de atalho do Home windows (LNK) que é baixado por meio de técnicas de obtain drive-by — por exemplo, quando os usuários procuram um filme em mecanismos de busca. Vale ressaltar que os arquivos LNK são distribuídos em arquivos ZIP disfarçados de filmes pirateados.
O arquivo LNK se conecta a uma rede de entrega de conteúdo (CDN) que hospeda um dropper JavaScript ofuscado somente de memória. O dropper subsequentemente executa o script do downloader PEAKLIGHT PowerShell no host, que então alcança um servidor de comando e controle (C2) para buscar payloads adicionais.
A Mandiant disse que identificou diferentes variações dos arquivos LNK, alguns dos quais utilizam asteriscos
como curingas para iniciar o binário legítimo mshta.exe para executar discretamente código malicioso (ou seja, o dropper) recuperado de um servidor remoto.
De forma semelhante, descobriu-se que os droppers incorporam cargas úteis do PowerShell codificadas em hexadecimal e em Base64, que eventualmente são descompactadas para executar o PEAKLIGHT, que é projetado para entregar malware de próxima fase em um sistema comprometido enquanto simultaneamente baixa um trailer de filme legítimo, provavelmente como um estratagema.
Segurança cibernética
“Se os arquivos não existirem, o downloader acessará um web site CDN, baixará o arquivo hospedado remotamente e o salvará no disco.”
A divulgação ocorre no momento em que a Malwarebytes detalhou uma campanha de malvertising que emprega anúncios fraudulentos da Pesquisa Google para o Slack, uma plataforma de comunicação empresarial, para direcionar usuários a websites falsos que hospedam instaladores maliciosos que culminam na implantação de um trojan de acesso remoto chamado SectopRAT.
