En ny Go-baseret malware-loader ved navn CherryLoader er dukket op i naturen, udgør en betydelig trussel ved at levere yderligere nyttelast til kompromitterede værter til efterfølgende udnyttelse.
CherryLoader Malware Loader i detaljer
CherryLoader fungerer vildledende, forklædte sig selv som den legitime CherryTree note-applikation til at lokke potentielle ofre til ubevidst at installere malwaren. Udgravet i to nylige indtrængen, denne sofistikeret læsser har rejst bekymringer på grund af dets unikke taktik og evner.
Ifølge en rapport af forskerne Hady Azzam, Christopher Prest, og Steven Campbell, CherryLoader bruges til at droppe enten PrintSpoofer eller JuicyPotatoNG – to privilegie-eskaleringsværktøjer. Disse værktøjer, på tur, udføre en batch-fil for at etablere persistens på ofrets enhed.
CherryLoaders ondsindede egenskaber
Et bemærkelsesværdigt aspekt af CherryLoader er dens evne til at inkorporere modulariserede funktioner, giver trusselsaktører mulighed for at bytte udnyttelser problemfrit uden behov for genkompilering af kode. Indlæserens distributionsmetode er i øjeblikket ukendt, men cybersikkerhedseksperter har sporet dets tilstedeværelse i angrebskæder, hvor det er skjult i en RAR-arkivfil med navnet “Pakket.rar” hostet på IP-adressen 141.11.187[.]70.
Ved download af RAR-filen, en eksekverbar (“main.exe”) pakker ud og starter Golang binær, som kun fortsætter, hvis det første argument matcher en hårdkodet MD5-adgangskodehash. Indlæseren dekrypterer derefter “NuxtSharp.Data” og skriver dens indhold til en fil med navnet “Fil.log,” ved at bruge en filløs teknik kendt som process ghosting, første gang identificeret i juni 2021.
Det modulære design af CherryLoader gør det muligt for trusselsaktøren at erstatte udnyttelser uden at genkompilere kode. For eksempel, læsseren kan skifte fra “Spof.Data” til “Juicy.Data” problemfrit, hver indeholder særskilte privilegie-eskaleringsudnyttelser.
Processen forbundet med “12.log” er knyttet til open source-privilegieeskaleringsværktøjet PrintSpoofer, mens “Juicy.Data” implementerer et andet privilegie-eskaleringsværktøj kendt som JuicyPotatoNG. Efter vellykket eskalering af privilegier, et batchfilscript kaldet “bruger.bat” udføres, etablere persistens på værten og deaktivere Microsoft Defender.
Konklusion
Afslutningsvis, CherryLoader fremstår som en nyligt identificeret multi-stage downloader, der anvender forskellige krypteringsmetoder og anti-analyseteknikker. Dens evne til at udføre alternative udnyttelse af privilegieeskalering uden at genkompilere kode gør det til en ganske potent trussel. Sikkerhedseksperter fortsætter med at overvåge og analysere CherryLoader for at udvikle effektive modforanstaltninger mod denne sofistikerede malware.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: