Cybersecurity-onderzoekers hebben een nieuwe ontwijkende malware-lader ontdekt, genaamd Inktvislader dat zich verspreidt via phishingcampagnes gericht op Chinese organisaties.
AT&T LevelBlue Labs, dat de malware eind april 2024 voor het eerst observeerde, zei dat het functies bevat die zijn ontworpen om statische en dynamische analyses te dwarsbomen en uiteindelijk detectie te omzeilen.
Aanvalsketens maken gebruik van phishing-e-mails met bijlagen die zich voordoen als Microsoft Word-documenten, maar in werkelijkheid binaire bestanden zijn die de weg vrijmaken voor de uitvoering van de malware, die vervolgens wordt gebruikt om shellcode-payloads van de tweede fase op te halen van een externe server. inclusief Cobalt Strike.
“Deze laders zijn voorzien van zware ontwijkings- en lokmechanismen die ervoor zorgen dat ze onopgemerkt blijven en tegelijkertijd de analyse belemmeren”, aldus veiligheidsonderzoeker Fernando Dominguez. “De shellcode die wordt afgeleverd, wordt ook in hetzelfde laadproces geladen, waardoor waarschijnlijk wordt voorkomen dat de payload naar schijf wordt geschreven en het risico bestaat dat deze wordt gedetecteerd.”
Enkele van de defensieve ontwijkingstechnieken die door SquidLoader worden toegepast, omvatten het gebruik van gecodeerde codesegmenten, zinloze code die ongebruikt blijft, Control Flow Graph (CFG)-verduistering, debugger-detectie en het uitvoeren van directe syscalls in plaats van het aanroepen van Windows NT API’s.
Loader-malware is een populair product geworden in de criminele underground voor bedreigingsactoren die extra payloads willen leveren en lanceren naar gecompromitteerde hosts, terwijl ze antivirusbescherming en andere beveiligingsmaatregelen omzeilen.
Vorig jaar werd in het Stroz Friedberg-incident van Aon een lader beschreven die bekend staat als Taurus Loader en waarvan is waargenomen dat deze de Taurus-informatiedief verspreidt, evenals AgentVX, een trojan met mogelijkheden om meer malware uit te voeren en persistentie in te stellen met behulp van Windows-registerwijzigingen, en gegevens te verzamelen.
De ontwikkeling komt nadat een nieuwe, diepgaande analyse van een malware-lader en achterdeur, PikaBot genaamd, heeft aangetoond dat deze sinds de opkomst in februari 2023 actief door de ontwikkelaars wordt ontwikkeld.
“De malware maakt gebruik van geavanceerde anti-analysetechnieken om detectie te omzeilen en de analyse te verharden, waaronder systeemcontroles, indirecte systeemaanroepen, encryptie van de volgende fase en strings, en dynamische API-resolutie”, aldus Sekoia. “De recente updates van de malware hebben de mogelijkheden ervan verder verbeterd, waardoor het nog moeilijker wordt om deze te detecteren en te beperken.”
Het volgt ook uit bevindingen van BitSight dat de infrastructuur met betrekking tot een andere loader-malware genaamd Latrodectus offline is gegaan in de nasleep van een wetshandhavingsinspanning genaamd Operation Endgame waarbij meer dan 100 botnetservers zijn aangetroffen, waaronder die geassocieerd met IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee , en TrickBot, ontmanteld.
Het cyberbeveiligingsbedrijf zei dat het bijna 5.000 verschillende slachtoffers heeft waargenomen, verspreid over 10 verschillende campagnes, waarbij de meerderheid van de slachtoffers zich in de VS, Groot-Brittannië, Nederland, Polen, Frankrijk, Tsjechië, Japan, Australië, Duitsland en Canada bevindt.
