Ein neuer Go-basierter Malware-Loader namens CherryLoader ist in freier Wildbahn aufgetaucht, stellt eine erhebliche Bedrohung dar, da zusätzliche Nutzlasten auf kompromittierten Hosts zur späteren Ausnutzung bereitgestellt werden.
CherryLoader Malware Loader im Detail
CherryLoader funktioniert irreführend, tarnt sich als legitime Notizanwendung von CherryTree, um potenzielle Opfer dazu zu verleiten, die Malware unwissentlich zu installieren. Bei zwei kürzlich erfolgten Einbrüchen entdeckt, Dies anspruchsvoller Lader hat aufgrund seiner einzigartigen Taktiken und Fähigkeiten Anlass zur Sorge gegeben.
Nach a Bericht von den Forschern Hady Azzam, Christopher Prest, und Steven Campbell, CherryLoader wird verwendet, um entweder PrintSpoofer oder JuicyPotatoNG – zwei Tools zur Rechteausweitung – zu löschen. Diese Werkzeuge, im Gegenzug, Führen Sie eine Batchdatei aus, um eine Persistenz auf dem Gerät des Opfers herzustellen.
Die bösartigen Fähigkeiten von CherryLoader
Ein bemerkenswerter Aspekt von CherryLoader ist seine Fähigkeit, modularisierte Funktionen zu integrieren, Dadurch können Bedrohungsakteure Exploits nahtlos austauschen, ohne dass der Code neu kompiliert werden muss. Die Verteilungsmethode des Loaders ist derzeit unbekannt, Aber Cybersicherheitsexperten haben sein Vorhandensein in Angriffsketten zurückverfolgt, wo es in einer RAR-Archivdatei mit dem Namen verborgen ist “Verpackt.rar” auf der IP-Adresse gehostet 141.11.187[.]70.
Beim Herunterladen der RAR-Datei, eine ausführbare Datei (“main.exe”) entpackt und startet die Golang-Binärdatei, Dies wird nur fortgesetzt, wenn das erste Argument mit einem hartcodierten MD5-Passwort-Hash übereinstimmt. Der Loader entschlüsselt dann “NuxtSharp.Data” und schreibt seinen Inhalt in eine Datei mit dem Namen “Datei.log,” Dabei kommt eine dateilose Technik zum Einsatz, die als Prozess-Ghosting bekannt ist, erstmals im Juni identifiziert 2021.
Der modulare Aufbau von CherryLoader ermöglicht es dem Bedrohungsakteur, Exploits zu ersetzen, ohne den Code neu kompilieren zu müssen. Beispielsweise, Der Lader kann abschalten “Spof.Data” zu “Juicy.Data” einwandfrei, Jeder enthält unterschiedliche Exploits zur Privilegienausweitung.
Der damit verbundene Prozess “12.Log” ist mit dem Open-Source-Tool zur Privilegienausweitung PrintSpoofer verknüpft, während “Juicy.Data” stellt ein weiteres Tool zur Privilegienausweitung bereit, das als JuicyPotatoNG bekannt ist. Nach erfolgreicher Rechteausweitung, ein Batchdatei-Skript namens “user.bat” ausgeführt wird, Erstellen einer Persistenz auf dem Host und Deaktivieren von Microsoft Defender.
Abschluss
Abschließend, CherryLoader ist ein neu identifizierter mehrstufiger Downloader, der verschiedene Verschlüsselungsmethoden und Anti-Analysetechniken verwendet. Seine Fähigkeit, alternative Exploits zur Rechteausweitung auszuführen, ohne den Code neu zu kompilieren, macht es zu einer ziemlich starken Bedrohung. Sicherheitsexperten überwachen und analysieren CherryLoader weiterhin, um wirksame Gegenmaßnahmen gegen diese hochentwickelte Malware zu entwickeln.