Un nouveau chargeur de malware bas\u00e9 sur Go appel\u00e9 CherryLoader<\/strong> a \u00e9t\u00e9 d\u00e9couvert par des chasseurs de menaces dans la nature pour fournir des charges utiles suppl\u00e9mentaires sur des h\u00f4tes compromis pour une exploitation ult\u00e9rieure.<\/p>\n Arctic Wolf Labs, qui a d\u00e9couvert le nouvel outil d’attaque lors de deux intrusions r\u00e9centes, a d\u00e9clar\u00e9 que l’ic\u00f4ne et le nom du chargeur se font passer pour l’application l\u00e9gitime de prise de notes CherryTree afin de tromper les victimes potentielles et de les inciter \u00e0 l’installer.<\/p>\n “CherryLoader a \u00e9t\u00e9 utilis\u00e9 pour supprimer l’un des deux outils d’\u00e9l\u00e9vation de privil\u00e8ges, ImprimerSpoofer<\/a> ou JuicyPotatoNG<\/a>qui ex\u00e9cuterait ensuite un fichier batch pour \u00e9tablir la persistance sur l’appareil victime”, chercheurs Hady Azzam, Christopher Prest et Steven Campbell dit<\/a>.<\/p>\n Dans une autre nouveaut\u00e9, CherryLoader int\u00e8gre \u00e9galement des fonctionnalit\u00e9s modularis\u00e9es qui permettent \u00e0 l’acteur malveillant d’\u00e9changer des exploits sans recompiler le code.<\/p>\n On ne sait pas actuellement comment le chargeur est distribu\u00e9, mais les cha\u00eenes d’attaque examin\u00e9es par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 montrent que CherryLoader (“cherrytree.exe”) et ses fichiers associ\u00e9s (“NuxtSharp.Data”, “Spof.Data” et “Juicy. Data”) sont contenus dans un fichier d’archive RAR (“Packed.rar”) h\u00e9berg\u00e9 sur l’adresse IP 141.11.187[.]70.<\/p>\n Un ex\u00e9cutable (“main.exe”) est t\u00e9l\u00e9charg\u00e9 avec le fichier RAR. Il est utilis\u00e9 pour d\u00e9compresser et lancer le binaire Golang, qui ne se poursuit que si le premier argument qui lui est transmis correspond \u00e0 un hachage de mot de passe MD5 cod\u00e9 en dur.<\/p>\n Le chargeur d\u00e9crypte ensuite \u00ab NuxtSharp.Data \u00bb et \u00e9crit son contenu dans un fichier nomm\u00e9 \u00ab File.log \u00bb sur le disque qui, \u00e0 son tour, est con\u00e7u pour d\u00e9coder et ex\u00e9cuter \u00ab Spof.Data \u00bb en tant que \u00ab 12.log \u00bb en utilisant une technique sans fichier. connu sous le nom de fant\u00f4me de processus qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 pour la premi\u00e8re fois en juin 2021.<\/p>\n “Cette technique est de conception modulaire et permettra \u00e0 l’acteur malveillant d’exploiter d’autres codes d’exploitation \u00e0 la place de Spof.Data”, ont indiqu\u00e9 les chercheurs. “Dans ce cas, Juicy.Data, qui contient un exploit diff\u00e9rent, peut \u00eatre remplac\u00e9 sans recompiler File.log.”<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Le-nouveau-logiciel-malveillant-CherryLoader-imite-CherryTree-pour-deployer-des.jpg\")
<\/a><\/center><\/div>\n