网络安全研究人员发现了一种前所未见的投递器,它可以作为启动下一阶段恶意软件的渠道,最终目标是用信息窃取程序和加载程序感染 Windows 系统。
“这个仅内存的 dropper 解密并执行基于 PowerShell 的下载器,”谷歌旗下的 Mandiant 说。“这个基于 PowerShell 的下载器被跟踪为 PEAKLIGHT。”
使用这种技术分发的一些恶意软件菌株是 Lumma Stealer、Hijack Loader(又名 DOILoader、IDAT Loader 或 SHADOWLADDER)和 CryptBot,所有这些都在恶意软件即服务 (SaaS) 模型下进行宣传。
攻击链的起点是通过偷渡式下载技术下载的 Windows 快捷方式 (LNK) 文件,例如,当用户在搜索引擎上查找电影时。值得指出的是,LNK 文件分布在伪装成盗版电影的 ZIP 档案中。
LNK 文件连接到托管仅混淆内存 JavaScript dropper 的内容分发网络 (CDN)。随后,dropper 在主机上执行 PEAKLIGHT PowerShell 下载器脚本,然后该脚本访问命令和控制 (C2) 服务器以获取其他有效负载。
Mandiant 表示,它确定了 LNK 文件的不同变体,其中一些利用星号 (*) 作为通配符来启动合法的 mshta.exe 二进制文件,以谨慎地运行从远程服务器检索到的恶意代码(即 dropper)。
同样,已发现 dropper 嵌入了十六进制编码和 Base64 编码的 PowerShell 有效负载,这些有效负载最终被解压缩以执行 PEAKLIGHT,该漏洞旨在在受感染的系统上提供下一阶段的恶意软件,同时下载合法的电影预告片,可能是一种诡计。
“PEAKLIGHT 是一个基于 PowerShell 的混淆下载器,它是多阶段执行链的一部分,用于检查硬编码文件路径中是否存在 ZIP 档案,”Mandiant 研究人员 Aaron Lee 和 Praveeth D’Souza 说。
“如果存档不存在,下载器将访问 CDN 站点并下载远程托管的存档文件并将其保存到磁盘。”
披露之际,Malwarebytes 详细介绍了一项恶意广告活动,该活动利用企业通信平台 Slack 的欺诈性 Google 搜索广告,将用户引导至托管恶意安装程序的虚假网站,最终部署名为 SectopRAT 的远程访问木马。