23 de agosto de 2024Ravie LakshmananMalware / Inteligencia de amenazas Los investigadores de ciberseguridad han descubierto un dropper nunca antes visto que sirve como conducto para lanzar malware de siguiente etapa con el objetivo final de infectar sistemas Windows con ladrones y cargadores de información. «Este dropper de solo memoria descifra y ejecuta un descargador basado en PowerShell», dijo Mandiant, propiedad de Google. «Este descargador basado en PowerShell está siendo rastreado como PEAKLIGHT». Algunas de las cepas de malware distribuidas mediante esta técnica son Lumma Stealer, Hijack Loader (también conocido como DOILoader, IDAT Loader o SHADOWLADDER) y CryptBot, todas las cuales se anuncian bajo el modelo de malware como servicio (SaaS). El punto de partida de la cadena de ataque es un archivo de acceso directo de Windows (LNK) que se descarga mediante técnicas de descarga automática, por ejemplo, cuando los usuarios buscan una película en los motores de búsqueda. Vale la pena señalar que los archivos LNK se distribuyen dentro de archivos ZIP que se disfrazan de películas pirateadas. El archivo LNK se conecta a una red de distribución de contenido (CDN) que aloja un dropper de JavaScript ofuscado de solo memoria. Posteriormente, el dropper ejecuta el script de descarga de PowerShell PEAKLIGHT en el host, que luego se comunica con un servidor de comando y control (C2) para obtener cargas útiles adicionales. Mandiant dijo que identificó diferentes variaciones de los archivos LNK, algunas de las cuales aprovechan los asteriscos.