Un nuevo cargador de malware basado en Go llamado CherryLoader ha aparecido en la naturaleza, Representa una amenaza importante al entregar cargas útiles adicionales a los hosts comprometidos para su posterior explotación..
Cargador de malware CherryLoader en detalle
CherryLoader funciona de manera engañosa, disfrazarse de la aplicación legítima de toma de notas CherryTree para atraer a víctimas potenciales a instalar el malware sin saberlo.. Descubierto en dos intrusiones recientes, esta cargador sofisticado ha generado preocupaciones debido a sus tácticas y capacidades únicas.
De acuerdo con una informe por los investigadores Hady Azzam, Christopher Prest, y steven campbell, CherryLoader se emplea para eliminar PrintSpoofer o JuicyPotatoNG: dos herramientas de escalada de privilegios. estas herramientas, en turno, ejecutar un archivo por lotes para establecer la persistencia en el dispositivo de la víctima.
Las capacidades maliciosas de CherryLoader
Un aspecto digno de mención de CherryLoader es su capacidad para incorporar funciones modularizadas., Permitir a los actores de amenazas intercambiar exploits sin problemas sin la necesidad de volver a compilar el código.. Actualmente se desconoce el método de distribución del cargador., pero los expertos en ciberseguridad han rastreado su presencia en cadenas de ataques donde está oculto dentro de un archivo RAR llamado “Empaquetado.rar” alojado en la dirección IP 141.11.187[.]70.
Al descargar el archivo RAR, un ejecutable (“main.exe”) descomprime y lanza el binario de Golang, que continúa solo si el primer argumento coincide con un hash de contraseña MD5 codificado. El cargador luego descifra “NuxtSharp.Datos” y escribe su contenido en un archivo llamado “Archivo.log,” utilizando una técnica sin archivos conocida como proceso fantasma, identificado por primera vez en junio 2021.
El diseño modular de CherryLoader permite al actor de amenazas sustituir exploits sin tener que volver a compilar el código.. Por ejemplo, el cargador puede cambiar de “Spof.Datos” a “Jugoso.datos” sin problemas, cada uno de ellos contiene distintos exploits de escalada de privilegios.
El proceso asociado con “12.Iniciar sesión” está vinculado a la herramienta de escalada de privilegios de código abierto PrintSpoofer, mientras “Jugoso.datos” implementa otra herramienta de escalada de privilegios conocida como JuicyPotatoNG. Después de una escalada de privilegios exitosa, un script de archivo por lotes llamado “usuario.bat” es ejecutado, establecer persistencia en el host y desarmar Microsoft Defender.
Conclusión
En conclusión, CherryLoader surge como un descargador de múltiples etapas recientemente identificado que emplea varios métodos de cifrado y técnicas antianálisis.. Su capacidad para ejecutar exploits alternativos de escalada de privilegios sin recompilar el código lo convierte en una amenaza bastante potente.. Los expertos en seguridad continúan monitoreando y analizando CherryLoader para desarrollar contramedidas efectivas contra este sofisticado malware..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: