Ein neuer Malware-Loader auf dem Vormarsch.
Hp Threat Research hat einen neuen Bericht veröffentlicht, in dem ein neuer Loader beschrieben wird. Seit Ende April beobachten die Forscher neue bösartige Spam-Kampagnen 2022, Verbreitung einer bisher unbekannten Malware, namens SVCReady. Der Lader ist ungewöhnlich verteilt – über Shellcode, der in den Eigenschaften von Microsoft Office-Dokumenten versteckt ist. Von dem, was das Bedrohungsforschungsteam aufgedeckt hat, Anscheinend befindet sich die Malware noch in der Entwicklung, mit mehreren Updates im Mai.
Ein Blick in den SVCReady Malware Loader
In der analysierten Kampagne, Die Angreifer verschickten .doc-Anhänge per E-Mail. Diese Dokumente enthalten Visual Basic für Applikationen (VBA) AutoOpen-Makros, die zum Ausführen von bösartigem Code benötigt werden. Jedoch, Die Dokumente verwenden weder PowerShell noch MSHTA, um weitere Payloads aus dem Internet herunterzuladen. Eher als das, Das VBA-Makro führt Shellcode aus, der in den Eigenschaften des Dokuments gespeichert ist, die dann SVCReady-Malware ablegt und ausführt, Der Bericht stellte fest.
Was die Malware selbst betrifft, es ist in der Lage, Systeminformationen zu sammeln, wie Benutzername, Computername, Zeitzone, und ob die Maschine einer Domäne angehört. Es führt auch Abfragen an die Registrierung durch, speziell die HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystem Taste, für Details zum Hersteller des Computers, BIOS und Firmware. Andere Details, die SVCReady sammelt, umfassen Listen von laufenden Prozessen und installierter Software. Das Sammeln von Informationen erfolgt über Windows-API-Aufrufe und nicht über den Abfrager der Windows-Verwaltungsinstrumentation. Alle gesammelten Details werden als JSON formatiert und an gesendet der C2-Server über eine HTTP-POST-Anforderung.
Die Kommunikation mit dem Command-and-Control-Server erfolgt über HTTP, Die Daten selbst werden jedoch über die RC4-Chiffre verschlüsselt. Bemerkenswert ist auch, dass die Malware versucht, Persistenz zu erreichen:
Nach dem Exfiltrieren von Informationen über den infizierten PC, Die Malware versucht, auf dem System zu bleiben. Wahrscheinlich wollten die Autoren der Malware die Malware-DLL in das Roaming-Verzeichnis kopieren, Geben Sie ihm einen eindeutigen Namen basierend auf einer neu generierten UUID. Aber es scheint, dass sie dies nicht richtig implementiert haben, weil rundll32.exe anstelle der SVCReady-DLL in das Roaming-Verzeichnis kopiert wird.
Eine Folge-Malware wurde ebenfalls bereitgestellt
Eine weitere Malware wird nach der Erstinfektion als Folgenutzlast verteilt – der RedLine-Stealer. „Damals war das C2-Kommunikationsformat nicht verschlüsselt. Es kann sein, dass diese Kampagne ein Test der Betreiber von SVCReady war. Zum Zeitpunkt des Schreibens, Seitdem haben wir noch keine weiteren Malware-Payloads erhalten,Der Bericht schloss.
Weitere Beispiele für kürzlich entdeckte Malware-Loader sind: ChromeLoader und Hummel.