Un nuevo cargador de malware basado en Go llamado cerezacargador<\/strong> ha sido descubierto por cazadores de amenazas en la naturaleza para entregar cargas \u00fatiles adicionales a los hosts comprometidos para su posterior explotaci\u00f3n.<\/p>\n Arctic Wolf Labs, que descubri\u00f3 la nueva herramienta de ataque en dos intrusiones recientes, dijo que el \u00edcono y el nombre del cargador se hace pasar por la aplicaci\u00f3n leg\u00edtima para tomar notas CherryTree para enga\u00f1ar a las v\u00edctimas potenciales para que la instalen.<\/p>\n “CherryLoader se utiliz\u00f3 para eliminar una de las dos herramientas de escalada de privilegios, ImprimirSpoofer<\/a> o JugosoPatataNG<\/a>que luego ejecutar\u00eda un archivo por lotes para establecer la persistencia en el dispositivo de la v\u00edctima”, investigadores Hady Azzam, Christopher Prest y Steven Campbell dicho<\/a>.<\/p>\n En otro giro novedoso, CherryLoader tambi\u00e9n incluye funciones modularizadas que permiten al actor de amenazas intercambiar exploits sin tener que volver a compilar el c\u00f3digo.<\/p>\n Actualmente no se sabe c\u00f3mo se distribuye el cargador, pero las cadenas de ataque examinadas por la empresa de ciberseguridad muestran que CherryLoader (“cherrytree.exe”) y sus archivos asociados (“NuxtSharp.Data”, “Spof.Data” y “Juicy. Datos”) est\u00e1n contenidos en un archivo RAR (“Packed.rar”) alojado en la direcci\u00f3n IP 141.11.187[.]70.<\/p>\n Junto con el archivo RAR se descarga un ejecutable (“main.exe”) que se utiliza para descomprimir e iniciar el binario de Golang, que solo contin\u00faa si el primer argumento que se le pasa coincide con un hash de contrase\u00f1a MD5 codificado.<\/p>\n Posteriormente, el cargador descifra “NuxtSharp.Data” y escribe su contenido en un archivo llamado “File.log” en el disco que, a su vez, est\u00e1 dise\u00f1ado para decodificar y ejecutar “Spof.Data” como “12.log” utilizando una t\u00e9cnica sin archivos. conocido como proceso fantasma que sali\u00f3 a la luz por primera vez en junio de 2021.<\/p>\n “Esta t\u00e9cnica tiene un dise\u00f1o modular y permitir\u00e1 al actor de amenazas aprovechar otro c\u00f3digo de explotaci\u00f3n en lugar de Spof.Data”, dijeron los investigadores. “En este caso, Juicy.Data, que contiene un exploit diferente, se puede intercambiar sin tener que volver a compilar File.log”.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/El-nuevo-malware-CherryLoader-imita-a-CherryTree-para-implementar-exploits.jpg\")
<\/a><\/center><\/div>\n