Los investigadores de ciberseguridad han descubierto un cuentagotas nunca antes visto que sirve como conducto para lanzar malware de siguiente etapa con el objetivo final de infectar sistemas Windows con ladrones y cargadores de información.
«Este cuentagotas de solo memoria descifra y ejecuta un descargador basado en PowerShell», dijo Mandiant, propiedad de Google. dicho«Este descargador basado en PowerShell se está rastreando como PEAKLIGHT».
Algunas de las cepas de malware distribuidas utilizando esta técnica son Lumma Stealer, Hijack Loader (también conocido como DOILoader, IDAT Loader o SHADOWLADDER) y CryptBot, todas las cuales se anuncian bajo el modelo de malware como servicio (SaaS).
El punto de partida de la cadena de ataques es un archivo de acceso directo de Windows (LNK) que se descarga mediante técnicas de descarga automática, por ejemplo, cuando los usuarios buscan una película en los motores de búsqueda. Vale la pena señalar que los archivos LNK se distribuyen dentro de archivos ZIP que se camuflan como películas pirateadas.
El archivo LNK se conecta a una red de distribución de contenido (CDN) que aloja un cuentagotas de JavaScript ofuscado que solo funciona con memoria. Posteriormente, el cuentagotas ejecuta el script de descarga de PowerShell PEAKLIGHT en el host, que luego se comunica con un servidor de comando y control (C2) para obtener cargas útiles adicionales.
Mandiant dijo que identificó diferentes variaciones de los archivos LNK, algunas de las cuales utilizan asteriscos.
como comodines para iniciar el binario legítimo mshta.exe para ejecutar discretamente código malicioso (es decir, el cuentagotas) recuperado de un servidor remoto.
De manera similar, se ha descubierto que los cuentagotas incorporan cargas útiles de PowerShell codificadas en hexadecimal y Base64 que finalmente se descomprimen para ejecutar PEAKLIGHT, que está diseñado para entregar malware de siguiente etapa en un sistema comprometido mientras se descarga simultáneamente un tráiler de película legítimo, probablemente como una artimaña.
Ciberseguridad
«Si los archivos no existen, el descargador se comunicará con un sitio CDN y descargará el archivo alojado de forma remota y lo guardará en el disco». La revelación llega cuando Malwarebytes detallado a campaña de publicidad maliciosa