En ny malware-loader på vej.
Hp Threat Research har udgivet en ny rapport, der beskriver en ny loader. Forskerne har observeret nye ondsindede spamkampagner siden slutningen af april 2022, distribuere en hidtil ukendt malware, kaldet SVCReady. Læsseren er fordelt på en usædvanlig måde – via shellcode skjult i egenskaberne for Microsoft Office-dokumenter. Ud fra hvad trusselsforskerholdet har afsløret, det ser ud til, at malwaren stadig er under udvikling, med flere opdateringer udført i maj.
Et kig på SVCReady Malware Loader
I den analyserede kampagne, angriberne sendte .doc-vedhæftede filer via e-mail. Disse dokumenter indeholder Visual Basic for Applications (VBA) AutoOpen-makroer er nødvendige for at udføre ondsindet kode. Men, dokumenterne bruger ikke PowerShell eller MSHTA til at downloade yderligere nyttelast fra nettet. Snarere end det, VBA-makroen kører shellcode, der er gemt i dokumentets egenskaber, som derefter dropper og kører SVCReady malware, rapporten bemærkede.
Hvad angår selve malwaren, det er i stand til at indsamle systemoplysninger, såsom brugernavn, computerens navn, tidszone, og om maskinen er knyttet til et domæne. Det gør også forespørgsler til registreringsdatabasen, specifikt den HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystem nøgle, for detaljer om computerens producent, BIOS og firmware. Andre detaljer, som SVCReady indsamler, omfatter lister over kørende processer og installeret software. Indsamlingen af oplysninger sker via Windows API-kald i stedet for Windows Management Instrumentation-forespørgsel. Alle indsamlede detaljer formateres som JSON og sendes til C2-serveren via en HTTP POST-anmodning.
Kommunikationen med kommando-og-kontrol-serveren foregår over HTTP, men selve dataene er krypteret via RC4-krypteringen. Det er også bemærkelsesværdigt, at malwaren forsøger at opnå persistens:
Efter at have eksfiltreret information om den inficerede pc, malwaren forsøger at opnå persistens på systemet. Malwarens forfattere havde sandsynligvis til hensigt at kopiere malware-DLL'en til Roaming-mappen, giver det et unikt navn baseret på en nygenereret UUID. Men det lader til, at de ikke har implementeret dette korrekt, fordi rundll32.exe er kopieret til Roaming-mappen i stedet for SVCReady DLL'en.
En opfølgende malware leveres også
En anden malware distribueres som en opfølgende nyttelast efter den første infektion – RedLine Stealer. "På det tidspunkt var C2-kommunikationsformatet ikke krypteret. Det kan være, at denne kampagne var en test af SVCReady's operatører. På tidspunktet for skrivning, vi har endnu ikke modtaget yderligere malware-nyttelast siden da,”Konkluderede rapporten.
Andre eksempler på nyligt opdagede malware-indlæsere inkluderer ChromeLoader og Humlebi.