Un nouveau chargeur de malware basé sur Go nommé CherryLoader a fait surface dans la nature, posant une menace importante en délivrant des charges utiles supplémentaires sur des hôtes compromis pour une exploitation ultérieure.
Chargeur de logiciels malveillants CherryLoader en détail
CherryLoader fonctionne de manière trompeuse, se déguisant en application légitime de prise de notes CherryTree pour inciter les victimes potentielles à installer le logiciel malveillant sans le savoir. Découvert lors de deux intrusions récentes, ce chargeur sophistiqué a soulevé des inquiétudes en raison de ses tactiques et capacités uniques.
Selon un rapport par les chercheurs Hady Azzam, Christophe Prest, et Steven Campbell, CherryLoader est utilisé pour supprimer PrintSpoofer ou JuicyPotatoNG – deux outils d'élévation de privilèges. ces outils, à son tour, exécuter un fichier batch pour établir la persistance sur l'appareil de la victime.
Capacités malveillantes de CherryLoader
Un aspect remarquable de CherryLoader est sa capacité à intégrer des fonctionnalités modularisées., permettant aux acteurs malveillants d'échanger des exploits de manière transparente sans avoir besoin de recompiler le code. La méthode de distribution du chargeur est actuellement inconnue, mais les experts en cybersécurité ont retracé sa présence dans les chaînes d'attaque où il est dissimulé dans un fichier d'archive RAR nommé “Emballé.rar” hébergé sur l'adresse IP 141.11.187[.]70.
Lors du téléchargement du fichier RAR, un exécutable (“main.exe”) décompresse et lance le binaire Golang, qui ne se poursuit que si le premier argument correspond à un hachage de mot de passe MD5 codé en dur. Le chargeur décrypte ensuite “NuxtSharp.Data” et écrit son contenu dans un fichier nommé “Fichier.log,” en utilisant une technique sans fichier connue sous le nom de fantôme de processus, identifié pour la première fois en juin 2021.
La conception modulaire de CherryLoader permet à l'acteur malveillant de remplacer les exploits sans recompiler le code.. Par exemple, le chargeur peut passer de “Spof.Données” à “Juicy.Données” en toute transparence, chacun contenant des exploits d'élévation de privilèges distincts.
Le processus associé à “12.bûche” est lié à l'outil open source d'élévation de privilèges PrintSpoofer, tandis que “Juicy.Données” déploie un autre outil d'élévation de privilèges connu sous le nom de JuicyPotatoNG. Suite à une élévation de privilèges réussie, un script de fichier batch appelé “utilisateur.bat” est exécutée, établir la persistance sur l'hôte et désarmer Microsoft Defender.
Conclusion
En conclusion, CherryLoader apparaît comme un téléchargeur multi-étapes nouvellement identifié utilisant diverses méthodes de cryptage et techniques d'anti-analyse. Sa capacité à exécuter des exploits alternatifs d’élévation de privilèges sans recompiler le code en fait une menace assez puissante.. Les experts en sécurité continuent de surveiller et d'analyser CherryLoader pour développer des contre-mesures efficaces contre ce malware sophistiqué..
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: