CherryLoader という名前の新しい Go ベースのマルウェア ローダーが世に出ました。, 侵害されたホストに追加のペイロードを配信してその後の悪用を行うことにより、重大な脅威をもたらす.
CherryLoader マルウェア ローダーの詳細
CherryLoader が不正に動作する, 正規の CherryTree メモ作成アプリケーションを装って、潜在的な被害者を誘い込み、知らずにマルウェアをインストールさせます。. 最近の2回の侵入で発掘された, これ 洗練されたローダー その独特の戦術と能力により懸念が生じている.
によると 報告 研究者ヘイディ・アッザムによる, クリストファー・プレスト, とスティーブン・キャンベル, CherryLoader は、PrintSpoofer または JuicyPotatoNG のいずれかをドロップするために使用されます (2 つの権限昇格ツール). これらのツール, 順番に, バッチ ファイルを実行して、被害者のデバイス上で永続性を確立します。.
CherryLoader の悪意のある機能
CherryLoader の注目すべき点は、モジュール化された機能を組み込むことができることです。, コードを再コンパイルすることなく、攻撃者がエクスプロイトをシームレスに交換できるようにします。. ローダーの配布方法は現時点では不明です, しかし、サイバーセキュリティの専門家は、攻撃チェーンの中でその存在が追跡されており、RAR アーカイブ ファイル内に隠蔽されています。 “パック済み.rar” IP アドレスでホストされる 141.11.187[.]70.
RARファイルをダウンロードすると, 実行可能ファイル (“main.exe”) Golang バイナリを解凍して起動します, 最初の引数がハードコーディングされた MD5 パスワード ハッシュと一致する場合にのみ続行されます。. その後、ローダーが復号化します “NuxtSharp.Data” そしてその内容を という名前のファイルに書き込みます “ファイル.ログ,” プロセスゴースティングとして知られるファイルレス技術を利用する, 6月に初めて特定された 2021.
CherryLoader のモジュール設計により、攻撃者はコードを再コンパイルせずにエクスプロイトを置き換えることができます。. 例えば, ローダーはから切り替えることができます “スポフデータ” に “ジューシーデータ” シームレスに, それぞれに個別の権限昇格エクスプロイトが含まれています.
関連するプロセス “12.ログ” オープンソースの権限昇格ツール PrintSpoofer にリンクされています, その間 “ジューシーデータ” JuicyPotatoNG として知られる別の権限昇格ツールをデプロイします. 権限昇格が成功した後, というバッチファイルスクリプト “ユーザー.バット” 実行されます, ホスト上で永続性を確立し、Microsoft Defender を解除する.
結論
結論は, CherryLoader は、さまざまな暗号化方式と解析防止技術を使用する、新たに特定された多段階ダウンローダーとして出現します。. コードを再コンパイルせずに別の権限昇格エクスプロイトを実行できるため、非常に強力な脅威になります。. セキュリティ専門家は、この高度なマルウェアに対する効果的な対策を開発するために、CherryLoader の監視と分析を続けています。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: