Um novo carregador de malware baseado em Go, chamado CherryLoader, foi descoberto por caçadores de ameaças no ambiente virtual com a função de entregar payloads adicionais em hosts comprometidos para exploração subsequente.
Os Arctic Wolf Labs, que descobriram a nova ferramenta de ataque em duas intrusões recentes, disseram que o ícone e o nome do carregador se disfarçam como o aplicativo legítimo de anotações CherryTree para enganar potenciais vítimas a instalá-lo.
"O CherryLoader foi usado para soltar uma de duas ferramentas de escalonamento de privilégios, PrintSpoofer ou JuicyPotatoNG, que então executariam um arquivo em lote para estabelecer persistência no dispositivo da vítima," disseram os pesquisadores Hady Azzam, Christopher Prest e Steven Campbell.
Em outra reviravolta incomum, o CherryLoader também possui recursos modularizados que permitem ao ator de ameaça trocar exploits sem recompilar o código.
Ainda não se sabe como o carregador é distribuído, mas as cadeias de ataque examinadas pela empresa de segurança cibernética mostram que o CherryLoader ("cherrytree.exe") e seus arquivos associados ("NuxtSharp.Data", "Spof.Data" e "Juicy.Data") estão contidos dentro de um arquivo RAR ("Packed.rar") alojado no endereço IP 141.11.187[.]70.
Baixado junto com o arquivo RAR está um executável ("main.exe") que é usado para desempacotar e lançar o binário Golang, que só prossegue se o primeiro argumento passado para ele corresponder a uma senha de hash MD5 codificada.
O carregador posteriormente descriptografa "NuxtSharp.Data" e escreve seu conteúdo para um arquivo chamado "File.log" no disco que é projetado para decodificar e executar "Spof.Data" como "12.log" usando uma técnica sem arquivo conhecida como ghosting de processo que foi revelada pela primeira vez em junho de 2021.
"Esta técnica é modular em design e permitirá que o ator de ameaça aproveite outro código de exploração no lugar de Spof.Data," disseram os pesquisadores.
"Neste caso, Juicy.Data que contém um exploit diferente, pode ser trocado no lugar sem recompilar File.log."
O processo associado ao "12.log" está ligado a uma ferramenta de escalada de privilégios de código aberto chamada PrintSpoofer, enquanto "Juicy.Data" é outra ferramenta de escalada de privilégios chamada JuicyPotatoNG.
Um escalonamento de privilégios bem-sucedido é seguido pela execução de um script de arquivo em lote chamado "user.bat" para configurar a persistência no host e desarmar o Microsoft Defender.
"CherryLoader é um recém-identificado carregador em várias etapas que usa diferentes métodos de criptografia e outras técnicas anti-análise na tentativa de detonar explorações alternativas de escalada de privilégios disponíveis publicamente sem ter que recompilar qualquer código," concluíram os pesquisadores.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...