Pesquisadores de cibersegurança descobriram um "dropper" nunca antes visto, que atua como um canal para lançar malwares de próxima fase com o objetivo final de infectar sistemas Windows com ladrões de informações e "loaders".
"Este dropper apenas em memória descriptografa e executa um downloader baseado em PowerShell", disse a Mandiant, de propriedade da Google.
Este downloader baseado em PowerShell está sendo rastreado como PEAKLIGHT. Algumas das cepas de malware distribuídas usando essa técnica são Lumma Stealer, Hijack Loader (também conhecido como DOILoader, IDAT Loader ou SHADOWLADDER) e CryptBot, todos anunciados sob o modelo de malware-as-a-service (SaaS).
O ponto de partida da cadeia de ataque é um arquivo de atalho do Windows (LNK) que é baixado por técnicas de download drive-by - por exemplo, quando os usuários procuram um filme em motores de busca.
Vale ressaltar que os arquivos LNK são distribuídos dentro de arquivos ZIP disfarçados de filmes piratas.
O arquivo LNK se conecta a uma rede de entrega de conteúdo (CDN) hospedando um dropper de JavaScript apenas em memória e ofuscado.
O dropper, subsequentemente, executa o script do downloader PowerShell PEAKLIGHT no host, que então se conecta a um servidor de comando e controle (C2) para buscar payloads adicionais.
Mandiant disse que identificou diferentes variações dos arquivos LNK, alguns dos quais utilizam asteriscos (*) como curingas para lançar o binário legítimo mshta.exe e executar discretamente código malicioso (ou seja, o dropper) recuperado de um servidor remoto.
De forma similar, descobriu-se que os droppers embutem payloads de PowerShell codificadas em hex e Base64 que eventualmente são descompactadas para executar PEAKLIGHT, que é projetado para entregar malware de próxima fase em um sistema comprometido enquanto simultaneamente baixa um trailer de filme legítimo, provavelmente como um ardil.
"PEAKLIGHT é um downloader baseado em PowerShell ofuscado que faz parte de uma cadeia de execução multi-estágio que verifica a presença de arquivos ZIP em caminhos de arquivo codificados", disseram os pesquisadores da Mandiant Aaron Lee e Praveeth D'Souza.
Se os arquivos não existirem, o downloader alcançará um site CDN e baixará o arquivo de arquivo hospedado remotamente e o salvará no disco.
A divulgação vem enquanto a Malwarebytes detalhava uma campanha de malvertising que emprega anúncios fraudulentos da pesquisa Google para o Slack, uma plataforma de comunicações empresariais, para direcionar usuários a sites falsos hospedando instaladores maliciosos que culminam na implantação de um trojan de acesso remoto chamado SectopRAT.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...