Un nuovo caricatore di malware basato su Go denominato CherryLoader è emerso in circolazione, rappresentando una minaccia significativa fornendo carichi utili aggiuntivi su host compromessi per il successivo sfruttamento.
Caricatore di malware CherryLoader in dettaglio
CherryLoader funziona in modo ingannevole, mascherandosi da applicazione legittima per prendere appunti CherryTree per indurre le potenziali vittime a installare inconsapevolmente il malware. Scoperto in due recenti intrusioni, Questo caricatore sofisticato ha sollevato preoccupazioni a causa delle sue tattiche e capacità uniche.
Secondo una rapporto dai ricercatori Hady Azzam, Christopher Prest, e Steven Campbell, CherryLoader viene utilizzato per eliminare PrintSpoofer o JuicyPotatoNG, due strumenti di escalation dei privilegi. questi strumenti, a sua volta, eseguire un file batch per stabilire la persistenza sul dispositivo della vittima.
Funzionalità dannose di CherryLoader
Un aspetto degno di nota di CherryLoader è la sua capacità di incorporare funzionalità modulari, consentendo agli autori delle minacce di scambiare exploit senza problemi senza la necessità di ricompilare il codice. Il metodo di distribuzione del caricatore è attualmente sconosciuto, ma gli esperti di sicurezza informatica hanno rintracciato la sua presenza nelle catene di attacchi in cui è nascosto all'interno di un file di archivio RAR denominato “Imballato.rar” ospitato sull'indirizzo IP 141.11.187[.]70.
Dopo aver scaricato il file RAR, un eseguibile (“main.exe”) scompatta e lancia il binario Golang, che procede solo se il primo argomento corrisponde a un hash della password MD5 hardcoded. Il caricatore quindi decrittografa “NuxtSharp.Data” e scrive il suo contenuto in un file denominato “File.log,” utilizzando una tecnica senza file nota come ghosting del processo, identificato per la prima volta a giugno 2021.
Il design modulare di CherryLoader consente all'autore della minaccia di sostituire gli exploit senza ricompilare il codice. Per esempio, il caricatore può passare da “Spof.Data” a “Dati.succosi” senza soluzione di continuità, ciascuno contenente distinti exploit di escalation dei privilegi.
Il processo associato a “12.ceppo” è collegato allo strumento di escalation dei privilegi open source PrintSpoofer, mentre “Dati.succosi” distribuisce un altro strumento di escalation dei privilegi noto come JuicyPotatoNG. Dopo l'escalation dei privilegi riuscita, uno script di file batch chiamato “utente.bat” viene eseguito, stabilire la persistenza sull'host e disarmare Microsoft Defender.
Conclusione
Insomma, CherryLoader emerge come un downloader multistadio recentemente identificato che utilizza vari metodi di crittografia e tecniche anti-analisi. La sua capacità di eseguire exploit alternativi di escalation dei privilegi senza ricompilare il codice lo rende una minaccia piuttosto potente. Gli esperti di sicurezza continuano a monitorare e analizzare CherryLoader per sviluppare contromisure efficaci contro questo sofisticato malware.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: