Een nieuwe malware-loader in opkomst.
Hp Threat Research heeft een nieuw rapport uitgebracht met een nieuwe loader. De onderzoekers observeren sinds eind april nieuwe kwaadaardige spamcampagnes 2022, het verspreiden van een voorheen onbekende malware, genaamd SVCReady. De lader is op een ongebruikelijke manier verdeeld – via shellcode verborgen in de eigenschappen van Microsoft Office-documenten. Van wat het onderzoeksteam voor bedreigingen heeft ontdekt, het lijkt erop dat de malware nog in ontwikkeling is, met verschillende updates gedaan in mei.
Een kijkje in SVCReady Malware Loader
In de geanalyseerde campagne, de aanvallers stuurden .doc-bijlagen via e-mail. Deze documenten bevatten Visual Basic for Applications (VBA) AutoOpen-macro's die nodig zijn om kwaadaardige code uit te voeren. Echter, de documenten gebruiken geen PowerShell of MSHTA om verdere payloads van internet te downloaden. Liever dan dat, de VBA-macro voert shellcode uit die is opgeslagen in de eigenschappen van het document, die vervolgens SVCReady-malware dropt en uitvoert, het verslag wordt opgemerkt.
Wat betreft de malware zelf, het is in staat om systeeminformatie te verzamelen, zoals gebruikersnaam, computer naam, tijdzone, en of de machine is gekoppeld aan een domein. Het doet ook vragen aan het register, specifiek de HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystem sleutel, voor de details over de fabrikant van de computer:, BIOS en firmware. Andere details die SVCReady verzamelt, zijn lijsten met lopende processen en geïnstalleerde software. Het verzamelen van informatie gebeurt via Windows API-aanroepen in plaats van Windows Management Instrumentation-querier. Alle verzamelde details worden opgemaakt als JSON en verzonden naar de C2-server via een HTTP POST-verzoek.
De communicatie met de command-and-control-server vindt plaats via HTTP, maar de gegevens zelf zijn versleuteld via het RC4-cijfer. Het is ook opmerkelijk dat de malware probeert persistentie te bereiken:
Na het exfiltreren van informatie over de geïnfecteerde pc, de malware probeert persistentie op het systeem te bereiken. De auteurs van de malware waren waarschijnlijk van plan om de malware-DLL naar de Roaming-directory te kopiëren, het een unieke naam geven op basis van een vers gegenereerde UUID. Maar het lijkt erop dat ze dit niet correct hebben geïmplementeerd omdat rundll32.exe is gekopieerd naar de Roaming-directory in plaats van de SVCReady DLL.
Ook een vervolgmalware geleverd
Een andere malware wordt verspreid als een vervolglading na de eerste infectie – de RedLine Stealer. “Op dat moment was het C2-communicatieformaat niet versleuteld. Het kan zijn dat deze campagne een test was door de operators van SVCReady. Op het moment van schrijven, we hebben sindsdien nog geen malware-payloads ontvangen,”Concludeerde het rapport.
Andere voorbeelden van recent ontdekte malware-laders zijn: ChromeLoader en Hommel.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: