Pesquisadores de segurança cibernética descobriram um conta-gotas sem precedentes que atua como um canal para lançar malware com o objetivo final de infectar sistemas Windows com objetos e cargas que roubam informações.
“Este conta-gotas somente de memória remove a criptografia e usa um downloader baseado em PowerShell”, disse Mandiant, de propriedade do Google. “Este downloader baseado em PowerShell é rastreado como PEAKLIGHT.”
Outros tipos de malware distribuídos usando essa técnica são Lumma Stealer, Hijack Loader (também conhecido como DOIloader, IDAT Loader ou SHADOWLADDER) e CryptBot, todos anunciados sob o malware como serviço (SaaS).
O início da cadeia de ataque é um arquivo de atalho do Windows (LNK) que é baixado usando métodos de download – por exemplo, quando os usuários procuram um filme nos motores de busca. Vale ressaltar que os arquivos LNK são distribuídos em arquivos ZIP disfarçados de filmes baixados.
Um arquivo LNK se conecta a uma rede de entrega de conteúdo (CDN) que hospeda JavaScript ofuscado somente de memória. O dropper então executa um script de download PEAKLIGHT PowerShell no host, que então acessa o servidor de comando e controle (C2) para baixar cargas adicionais.
A Mandiant disse que identificou diferentes variações de arquivos LNK, alguns dos quais usam asteriscos
como curingas para executar um binário mshta.exe legítimo para executar secretamente código malicioso (ou seja, um conta-gotas) encontrado em um servidor remoto.
Na mesma linha, descobriu-se que os droppers incorporam cargas úteis do PowerShell codificadas em Hex e Base64 que podem ser empacotadas para executar o PEAKLIGHT, que é projetado para fornecer malware de próximo estágio a um sistema vulnerável enquanto baixa simultaneamente um trailer oficial do filme. , quase como uma estratégia.
Cibersegurança
“Se os arquivos não estiverem disponíveis, o downloader acessará o site CDN, baixará o arquivo hospedado remotamente e o salvará em disco.”
e LinkedIn para ler o conteúdo exclusivo que postamos.
Source link
