Um novo carregador de malware baseado em Go chamado CherryLoader surgiu à solta, representando uma ameaça significativa ao entregar cargas adicionais em hosts comprometidos para exploração subsequente.
Carregador de malware CherryLoader em detalhes
CherryLoader opera de forma enganosa, disfarçando-se como o aplicativo legítimo de anotações CherryTree para atrair vítimas em potencial para que instalem o malware sem saber. Desenterrado em duas invasões recentes, esta carregador sofisticado levantou preocupações devido às suas táticas e capacidades únicas.
De acordo com um relatório pelos pesquisadores Hady Azzam, Cristóvão Prest, e Steven Campbell, CherryLoader é empregado para descartar PrintSpoofer ou JuicyPotatoNG – duas ferramentas de escalonamento de privilégios. Essas ferramentas, por sua vez, execute um arquivo em lote para estabelecer persistência no dispositivo da vítima.
Capacidades maliciosas do CherryLoader
Um aspecto digno de nota do CherryLoader é sua capacidade de incorporar recursos modularizados, permitindo que os agentes de ameaças troquem explorações sem a necessidade de recompilar o código. O método de distribuição do carregador é atualmente desconhecido, mas especialistas em segurança cibernética rastrearam sua presença em cadeias de ataque onde está oculto em um arquivo RAR chamado “Empacotado.rar” hospedado no endereço IP 141.11.187[.]70.
Ao baixar o arquivo RAR, um executável (“main.exe”) descompacta e inicia o binário Golang, que continua apenas se o primeiro argumento corresponder a um hash de senha MD5 codificado. O carregador então descriptografa “NuxtSharp.Data” e grava seu conteúdo em um arquivo chamado “Arquivo.log,” utilizando uma técnica sem arquivo conhecida como processamento fantasma, identificado pela primeira vez em junho 2021.
O design modular do CherryLoader permite que o agente da ameaça substitua explorações sem recompilar o código. Por exemplo, o carregador pode mudar de “Spof.Data” para “Suculento.Dados” perfeitamente, cada um contendo explorações distintas de escalonamento de privilégios.
O processo associado “12.registro” está vinculado à ferramenta de escalonamento de privilégios de código aberto PrintSpoofer, enquanto “Suculento.Dados” implanta outra ferramenta de escalonamento de privilégios conhecida como JuicyPotatoNG. Após escalonamento de privilégios bem-sucedido, um script de arquivo em lote chamado “usuário.bat” É executado, estabelecendo persistência no host e desarmando o Microsoft Defender.
Conclusão
Em conclusão, CherryLoader surge como um downloader de vários estágios recém-identificado que emprega vários métodos de criptografia e técnicas anti-análise. Sua capacidade de executar explorações alternativas de escalonamento de privilégios sem recompilar o código o torna uma ameaça bastante potente. Especialistas em segurança continuam monitorando e analisando o CherryLoader para desenvolver contramedidas eficazes contra esse malware sofisticado.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: