- 14,888
- 22
- 8 Ноя 2022
Автоматизированная система заражения гибко подстраивается под любые механизмы безопасности.
Исследователи безопасности TRAC Labs Для просмотра ссылки Войдиили Зарегистрируйся новый вредоносный загрузчик PEAKLIGHT на базе PowerShell , разработанный для распространения инфостилеров через модель «вредоносного ПО как услуга».
По данным экспертов, начальным вектором заражения служат LNK-файлы (ярлыки Windows), которые подключаются к CDN для загрузки дроппера на JavaScript. Этот дроппер исполняет PowerShell-скрипт, который, в свою очередь, загружает вредоносный код. Среди зафиксированных вредоносных программ — LummaC2, HijackLoader и CryptBot.
PEAKLIGHT также известен как Emmenhtal Loader. Вредоносные LNK-файлы используют PowerShell в связке с «mshta.exe» для загрузки и выполнения полезных нагрузок. Например, файл «Instruction_1928_W9COI.pdf.lnk» содержит аргументы, запускающие «mshta.exe» с указанием на удалённый JSON-файл. Этот файл, в свою очередь, скачивает исполняемый файл «dxdiag.exe», содержащий зашифрованную полезную нагрузку на JavaScript.
Ключевым элементом PEAKLIGHT является многослойная обфускация. Код включает числовые массивы, преобразуемые в строки с помощью функции String.fromCharCode, и шифрование AES. Зашифрованный пейлоад расшифровывается и выполняется в памяти с использованием метода CreateDecryptor из библиотеки .NET. Обфусцированные данные превращаются в команды PowerShell, запускаемые через base64-кодирование.
Загрузчик AutoIt , встроенный в PEAKLIGHT, представляет собой ещё одну степень маскировки. Используя DLL-функции, такие как VirtualProtect, скрипт декодирует зашифрованную полезную нагрузку и исполняет её прямо из памяти. Этот метод позволяет избежать обнаружения традиционными антивирусными инструментами.
Конечная полезная нагрузка PEAKLIGHT, известная как DarkGate, включает инструменты для инъекции в процессы, маскировки и выполнения шпионских функций. Например, она может использовать метод Process Hollowing для скрытного внедрения вредоносного кода в легитимные процессы Windows.
Анализ показал использование целого ряда защитных механизмов, включая проверку среды на виртуализацию и достаточное количество свободной памяти. Скачивание полезных нагрузок осуществляется с доменов, маскирующихся под легитимные сервисы, например «docu-sign[.]info».
Для обеспечения надёжной защиты TRAC Labs рекомендует специалистам безопасности мониторить следующие активности:
Исследователи безопасности TRAC Labs Для просмотра ссылки Войди
По данным экспертов, начальным вектором заражения служат LNK-файлы (ярлыки Windows), которые подключаются к CDN для загрузки дроппера на JavaScript. Этот дроппер исполняет PowerShell-скрипт, который, в свою очередь, загружает вредоносный код. Среди зафиксированных вредоносных программ — LummaC2, HijackLoader и CryptBot.
PEAKLIGHT также известен как Emmenhtal Loader. Вредоносные LNK-файлы используют PowerShell в связке с «mshta.exe» для загрузки и выполнения полезных нагрузок. Например, файл «Instruction_1928_W9COI.pdf.lnk» содержит аргументы, запускающие «mshta.exe» с указанием на удалённый JSON-файл. Этот файл, в свою очередь, скачивает исполняемый файл «dxdiag.exe», содержащий зашифрованную полезную нагрузку на JavaScript.
Ключевым элементом PEAKLIGHT является многослойная обфускация. Код включает числовые массивы, преобразуемые в строки с помощью функции String.fromCharCode, и шифрование AES. Зашифрованный пейлоад расшифровывается и выполняется в памяти с использованием метода CreateDecryptor из библиотеки .NET. Обфусцированные данные превращаются в команды PowerShell, запускаемые через base64-кодирование.
Загрузчик AutoIt , встроенный в PEAKLIGHT, представляет собой ещё одну степень маскировки. Используя DLL-функции, такие как VirtualProtect, скрипт декодирует зашифрованную полезную нагрузку и исполняет её прямо из памяти. Этот метод позволяет избежать обнаружения традиционными антивирусными инструментами.
Конечная полезная нагрузка PEAKLIGHT, известная как DarkGate, включает инструменты для инъекции в процессы, маскировки и выполнения шпионских функций. Например, она может использовать метод Process Hollowing для скрытного внедрения вредоносного кода в легитимные процессы Windows.
Анализ показал использование целого ряда защитных механизмов, включая проверку среды на виртуализацию и достаточное количество свободной памяти. Скачивание полезных нагрузок осуществляется с доменов, маскирующихся под легитимные сервисы, например «docu-sign[.]info».
Для обеспечения надёжной защиты TRAC Labs рекомендует специалистам безопасности мониторить следующие активности:
- Обращение к подозрительным URL-адресам (например, docu-sign[.]info и timeless-tales[.]shop);
- Запуск PowerShell-скриптов с base64-кодированием;
- Активность файлов в TEMP-папке;
- Выполнение AutoIt-скриптов.
- Источник новости
- www.securitylab.ru
