Un nouveau chargeur de malware basé sur Go appelé CherryLoader a été découvert par des chasseurs de menaces dans la nature pour fournir des charges utiles supplémentaires sur des hôtes compromis pour une exploitation ultérieure.
Arctic Wolf Labs, qui a découvert le nouvel outil d’attaque lors de deux intrusions récentes, a déclaré que l’icône et le nom du chargeur se font passer pour l’application légitime de prise de notes CherryTree afin de tromper les victimes potentielles et de les inciter à l’installer.
« CherryLoader a été utilisé pour supprimer l’un des deux outils d’élévation de privilèges, ImprimerSpoofer ou JuicyPotatoNGqui exécuterait ensuite un fichier batch pour établir la persistance sur l’appareil victime », chercheurs Hady Azzam, Christopher Prest et Steven Campbell dit.
Dans une autre nouveauté, CherryLoader intègre également des fonctionnalités modularisées qui permettent à l’acteur malveillant d’échanger des exploits sans recompiler le code.
On ne sait pas actuellement comment le chargeur est distribué, mais les chaînes d’attaque examinées par la société de cybersécurité montrent que CherryLoader (« cherrytree.exe ») et ses fichiers associés (« NuxtSharp.Data », « Spof.Data » et « Juicy. Data ») sont contenus dans un fichier d’archive RAR (« Packed.rar ») hébergé sur l’adresse IP 141.11.187[.]70.
Un exécutable (« main.exe ») est téléchargé avec le fichier RAR. Il est utilisé pour décompresser et lancer le binaire Golang, qui ne se poursuit que si le premier argument qui lui est transmis correspond à un hachage de mot de passe MD5 codé en dur.
Le chargeur décrypte ensuite « NuxtSharp.Data » et écrit son contenu dans un fichier nommé « File.log » sur le disque qui, à son tour, est conçu pour décoder et exécuter « Spof.Data » en tant que « 12.log » en utilisant une technique sans fichier. connu sous le nom de fantôme de processus qui a été révélé pour la première fois en juin 2021.
« Cette technique est de conception modulaire et permettra à l’acteur malveillant d’exploiter d’autres codes d’exploitation à la place de Spof.Data », ont indiqué les chercheurs. « Dans ce cas, Juicy.Data, qui contient un exploit différent, peut être remplacé sans recompiler File.log. »
Le processus associé à « 12.log » est lié à un outil d’élévation de privilèges open source nommé PrintSpoofer, tandis que « Juicy.Data » est un autre outil d’élévation de privilèges nommé JuicyPotatoNG.
Une élévation de privilèges réussie est suivie de l’exécution d’un script de fichier batch appelé « user.bat » pour configurer la persistance sur l’hôte et désarmer Microsoft Defender.
« CherryLoader est [a] téléchargeur multi-étapes nouvellement identifié qui exploite différentes méthodes de cryptage et d’autres techniques anti-analyse dans le but de faire exploser des exploits alternatifs d’élévation de privilèges accessibles au public sans avoir à recompiler le moindre code », ont conclu les chercheurs.