Investigadores de ciberseguridad han descubierto un gotero nunca antes visto que sirve como conducto para lanzar malware de nivel superior con el objetivo final de infectar sistemas Windows con ladrones y cargadores de información.
“Este cuentagotas solo en memoria descifra y ejecuta un descargador basado en PowerShell”, dijo Mandiant, propiedad de Google. dicho“Este descargador basado en PowerShell se rastrea como PEAKLIGHT. »
Algunas de las cepas de malware distribuidas mediante esta técnica son Lumma Stealer, Hijack Loader (también conocido como DOILoader, IDAT Loader o SHADOWLADDER) y CryptBot, todos los cuales se anuncian bajo el modelo de malware como servicio (SaaS).
El punto de partida de la cadena de ataque es un archivo de acceso directo de Windows (LNK) descargado mediante técnicas de descarga no autorizada, por ejemplo, cuando los usuarios buscan una película en los motores de búsqueda. Vale la pena señalar que los archivos LNK se distribuyen en archivos ZIP disfrazados de películas pirateadas.
El archivo LNK se conecta a una red de entrega de contenido (CDN) que aloja un cuentagotas de JavaScript ofuscado de solo memoria. Luego, el cuentagotas ejecuta el script de descarga de PEAKLIGHT PowerShell en el host, que luego se comunica con un servidor de comando y control (C2) para recuperar cargas útiles adicionales.
Mandiant dijo que ha identificado diferentes variaciones de archivos LNK, algunas de las cuales usan asteriscos.
como comodines para iniciar el binario mshta.exe legítimo para ejecutar silenciosamente código malicioso (es decir, soltarlo) recuperado de un servidor remoto.
De manera similar, se ha descubierto que los droppers incorporan cargas útiles de PowerShell con codificación hexadecimal y Base64 que finalmente se descomprimen para ejecutar PEAKLIGHT, que está diseñado para entregar malware de nivel superior a un sistema comprometido y al mismo tiempo descargar un avance de película legítimo, probablemente como un ardid.
Ciberseguridad
“Si el archivo no existe, el programa de descarga se conectará a un sitio CDN, descargará el archivo alojado de forma remota y lo guardará en el disco. » La revelación llega como Malwarebytes detallado A campaña de publicidad maliciosa
para leer más del contenido exclusivo que publicamos.