PEAKLIGHT Downloader implantado em ataques visando o Windows com downloads de filmes Maliciosos
Pesquisadores de cibersegurança descobriram um dropper inédito que funciona como um intermediário para lançar malwares subsequentes com o objetivo final de infectar sistemas Windows com ladrões de informações e carregadores de malware.
“Este dropper, que reside apenas na memória, descriptografa e executa um downloader baseado em PowerShell”, informou a Mandiant, uma empresa pertencente ao Google. “Esse downloader baseado em PowerShell está sendo rastreado sob o nome PEAKLIGHT.”
Algumas das cepas de malware distribuídas usando essa técnica incluem o Lumma Stealer, Hijack Loader (também conhecido como DOILoader, IDAT Loader ou SHADOWLADDER) e CryptBot, todos anunciados sob o modelo de malware como serviço (MaaS, na sigla em inglês).
Cadeia de ataque: LNK malicioso em arquivos ZIP
O ponto de partida desta cadeia de ataque é um arquivo de atalho do Windows (LNK) que é baixado por meio de técnicas de download drive-by — por exemplo, quando os usuários procuram por um filme em motores de busca. Esses arquivos LNK são distribuídos dentro de arquivos ZIP, disfarçados como filmes pirateados.
O arquivo LNK conecta-se a uma rede de entrega de conteúdo (CDN) que hospeda um dropper JavaScript ofuscado, que reside apenas na memória. Esse dropper, em seguida, executa o script do downloader PEAKLIGHT no host, que se comunica com um servidor de comando e controle (C2) para buscar cargas maliciosas adicionais.
Variações e técnicas de ofuscação
A Mandiant também identificou variações dos arquivos LNK, algumas das quais utilizam asteriscos (*) como curingas para executar o binário legítimo mshta.exe, a fim de rodar de forma discreta o código malicioso (o dropper) recuperado de um servidor remoto.
Além disso, os droppers foram encontrados incorporando cargas úteis de PowerShell codificadas em hexadecimal e Base64, que, eventualmente, são descompactadas para executar o PEAKLIGHT. Este, por sua vez, entrega malware de próxima fase no sistema comprometido enquanto, simultaneamente, baixa um trailer de filme legítimo, provavelmente como uma distração.
“PEAKLIGHT é um downloader baseado em PowerShell ofuscado, que faz parte de uma cadeia de execução em múltiplos estágios, e verifica a presença de arquivos ZIP em caminhos de arquivos pré-determinados,” relataram os pesquisadores da Mandiant, Aaron Lee e Praveeth D’Souza. “Se os arquivos não existirem, o downloader se conectará a um site CDN e baixará o arquivo hospedado remotamente, salvando-o no disco.”
Histórico de ataques com filmes piratas
Esse tipo de ataque não é novidade para usuários que buscam filmes pirateados. Em junho de 2024, a empresa de segurança Kroll detalhou uma cadeia de infecção complexa que levou ao uso do Hijack Loader após a tentativa de baixar um vídeo de um site de filmes.
Dave Truman, pesquisador de segurança da Kroll, relatou ao The Hacker News que o dropper “parece ter exatamente o mesmo código” do malware observado na campanha de junho, sugerindo que ambos os ataques são, provavelmente, de autoria do mesmo grupo de ameaças.
Campanhas de malvertising e impacto mais amplo
Essa revelação ocorre ao mesmo tempo em que a Malwarebytes detalha uma campanha de malvertising que utiliza anúncios falsos do Google Search para a plataforma de comunicação empresarial Slack, direcionando usuários a sites fraudulentos que hospedam instaladores maliciosos, culminando na implantação de um trojan de acesso remoto chamado SectopRAT.
O cenário em que malwares estão sendo distribuídos através de downloads de filmes piratas é um alerta para o crescente uso de malware-as-a-service, colocando usuários desavisados em risco ao baixar supostos filmes gratuitos.
Conclusão
Os ataques cibernéticos envolvendo o PEAKLIGHT e o uso de filmes piratas como isca mostram a sofisticação crescente dos cibercriminosos. O uso de downloaders baseados em PowerShell, ofuscados por múltiplas camadas, e a técnica de disfarçar malware em trailers legítimos tornam esses ataques ainda mais difíceis de detectar. É essencial que os usuários evitem baixar conteúdo pirata e usem soluções robustas de segurança para proteger seus sistemas.
Fonte: https://thehackernews.com/2024/08/new-peaklight-dropper-deployed-in.html