Un nuevo cargador de malware basado en Go llamado cerezacargador ha sido descubierto por cazadores de amenazas en la naturaleza para entregar cargas útiles adicionales a los hosts comprometidos para su posterior explotación.
Arctic Wolf Labs, que descubrió la nueva herramienta de ataque en dos intrusiones recientes, dijo que el ícono y el nombre del cargador se hace pasar por la aplicación legítima para tomar notas CherryTree para engañar a las víctimas potenciales para que la instalen.
«CherryLoader se utilizó para eliminar una de las dos herramientas de escalada de privilegios, ImprimirSpoofer o JugosoPatataNGque luego ejecutaría un archivo por lotes para establecer la persistencia en el dispositivo de la víctima», investigadores Hady Azzam, Christopher Prest y Steven Campbell dicho.
En otro giro novedoso, CherryLoader también incluye funciones modularizadas que permiten al actor de amenazas intercambiar exploits sin tener que volver a compilar el código.
Actualmente no se sabe cómo se distribuye el cargador, pero las cadenas de ataque examinadas por la empresa de ciberseguridad muestran que CherryLoader («cherrytree.exe») y sus archivos asociados («NuxtSharp.Data», «Spof.Data» y «Juicy. Datos») están contenidos en un archivo RAR («Packed.rar») alojado en la dirección IP 141.11.187[.]70.
Junto con el archivo RAR se descarga un ejecutable («main.exe») que se utiliza para descomprimir e iniciar el binario de Golang, que solo continúa si el primer argumento que se le pasa coincide con un hash de contraseña MD5 codificado.
Posteriormente, el cargador descifra «NuxtSharp.Data» y escribe su contenido en un archivo llamado «File.log» en el disco que, a su vez, está diseñado para decodificar y ejecutar «Spof.Data» como «12.log» utilizando una técnica sin archivos. conocido como proceso fantasma que salió a la luz por primera vez en junio de 2021.
«Esta técnica tiene un diseño modular y permitirá al actor de amenazas aprovechar otro código de explotación en lugar de Spof.Data», dijeron los investigadores. «En este caso, Juicy.Data, que contiene un exploit diferente, se puede intercambiar sin tener que volver a compilar File.log».
El proceso asociado con «12.log» está vinculado a una herramienta de escalada de privilegios de código abierto llamada PrintSpoofer, mientras que «Juicy.Data» es otra herramienta de escalada de privilegios llamada JuicyPotatoNG.
Una escalada de privilegios exitosa va seguida de la ejecución de un script de archivo por lotes llamado «user.bat» para configurar la persistencia en el host y desarmar Microsoft Defender.
«CherryLoader es [a] descargador de múltiples etapas recientemente identificado que aprovecha diferentes métodos de cifrado y otras técnicas anti-análisis en un intento de detonar exploits de escalada de privilegios alternativos y disponibles públicamente sin tener que recompilar ningún código», concluyeron los investigadores.