CherryLoader Malware: Μιμείται το CherryTree για την ανάπτυξη PrivEsc Exploits

Ανακαλύφθηκε νέο malware, το οποίο ονομάζεται CherryLoader. Μιμείται το CherryTree και βασίζεται στη γλώσσα προγραμματισμού Go.

Ο στόχος του είναι να μεταβιβάζει επιπλέον malware φορτία σε παραβιασμένους κεντρικούς υπολογιστές, προκειμένου να εκμεταλλεύεται περαιτέρω την κατάστασή τους.

Η Arctic Wolf Labs, που ανακάλυψε το νέο εργαλείο επίθεσης σε δύο πρόσφατες εισβολές, είπε ότι το εικονίδιο και το όνομα του loader μεταμφιέζονται ως η νόμιμη εφαρμογή λήψης σημειώσεων CherryTree για να εξαπατήσει τα πιθανά θύματα να το εγκαταστήσουν.

Διαβάστε επίσης: NS-STEALER: Το info-stealer malware χρησιμοποιεί Discord bot για να κλέψει δεδομένα

Το CherryLoader χρησιμοποιήθηκε για να απορρίψει ένα από τα δύο εργαλεία κλιμάκωσης προνομίων, το PrintSpoofer ή το JuicyPotatoNG. Στη συνέχεια, εκτελέστηκε ένα αρχείο για να επιμείνει στη συσκευή του θύματος. Αυτές τις πληροφορίες διαβίβασαν οι ερευνητές Hady Azzam, Christopher Prest και Steven Campbell.

Προς το παρόν, δεν γνωρίζουμε τον τρόπο διανομής του, αλλά οι αναλύσεις από την εταιρεία κυβερνοασφάλειας αποκαλύπτουν ότι το CherryLoader (“cherrytree.exe”) και τα σχετικά αρχεία του (“NuxtSharp.Data”, “Spof.Data” και “Juicy.Data”) περιλαμβάνονται σε ένα αρχείο αρχειοθέτησης RAR (“Packed.rar”) που φιλοξενείται στη διεύθυνση IP 141.11.187[.]70.

Μαζί με το αρχείο RAR, περιλαμβάνεται και ένα αρχείο (“main.exe”), το οποίο χρησιμοποιείται για την αποσυμπίεση και την εκκίνηση του δυαδικού αρχείου Golang. Αυτή η διαδικασία εκτελείται μόνο εάν το πρώτο όρισμα που παρέχεται ταιριάζει με έναν ισχυρό κωδικό πρόσβασης MD5.

Δείτε ακόμη: Στόχος Malware η Ινδική Πολεμική Αεροπορία

Στη συνέχεια, ο loader αποκρυπτογραφεί το “NuxtSharp.Data” και αποθηκεύει τα περιεχόμενά του σε ένα αρχείο με το όνομα “File.log” στον σκληρό δίσκο. Στη συνέχεια, αποκωδικοποιεί και εκτελεί το “Spof.Data” ως “12.log” χρησιμοποιώντας μια τεχνική χωρίς αρχείο, γνωστή ως process ghosting, που πρωτοεμφανίστηκε τον Ιούνιο του 2021.

“Αυτή η τεχνική είναι ευέλικτη στον σχεδιασμό και επιτρέπει στον απειλητικό παράγοντα να αξιοποιήσει διαφορετικό κώδικα εκμετάλλευσης αντί του Spof.Data”, δήλωσαν οι ερευνητές. “Σε αυτήν την περίπτωση, το Juicy.Data που περιλαμβάνει έναν διαφορετικό exploit, μπορεί να αντικατασταθεί χωρίς να απαιτείται εκ νέου μεταγλώττιση του File.log.”

Η διαδικασία που σχετίζεται με το “12.log” συνδέεται με ένα εργαλείο κλιμάκωσης προνομίων ανοιχτού κώδικα που ονομάζεται PrintSpoofer, ενώ το “Juicy.Data” είναι ένα άλλο εργαλείο κλιμάκωσης προνομίων που ονομάζεται JuicyPotatoNG.

Μια επιτυχημένη κλιμάκωση προνομίων ακολουθείται από την εκτέλεση μιας δέσμης ενεργειών αρχείου που ονομάζεται “user.bat”. Με αυτό τον τρόπο μπορείτε να ρυθμίσετε τις προτεραιότητες στον κεντρικό υπολογιστή και να απενεργοποιήσετε το Microsoft Defender.

“Το CherryLoader είναι ένα καινούργιο πρόγραμμα λήψης πολλαπλών σταδίων που χρησιμοποιεί διάφορες μεθόδους κρυπτογράφησης και άλλες anti-analysis τεχνικές για να προκαλέσει εναλλακτικές δυνατότητες κλιμάκωσης προνομίων, που είναι δημόσια διαθέσιμες, χωρίς να απαιτείται επανασύνταξη κωδικού”, συμπεραίνουν οι ερευνητές.

Δείτε περισσότερα: Ιρανοί hackers στοχεύουν ερευνητές με custom malware

Πηγή: thehackernews.com