Bedreigingsactoren maken steeds vaker misbruik van legitieme en in de handel verkrijgbare packer-software zoals BoxedApp om detectie te omzeilen en malware te verspreiden, zoals Trojaanse paarden voor externe toegang en informatiestelers.
“Het merendeel van de toegeschreven kwaadaardige monsters was gericht op financiële instellingen en overheidssectoren”, zei veiligheidsonderzoeker Jiri Vinopal van Check Point in een analyse.
Het aantal monsters verpakt met BoxedApp en ingediend bij het Malware-scanplatform VirusTotal, eigendom van Google, was rond mei 2023 getuige van een piek, voegde het Israëlische cyberbeveiligingsbedrijf eraan toe, waarbij de artefact-inzendingen voornamelijk afkomstig waren uit Turkije, de VS, Duitsland, Frankrijk en Rusland.
Onder de malwarefamilies die op deze manier worden verspreid, bevinden zich Agent Tesla, AsyncRAT, LockBit, LodaRAT, NanoCore, Neshta, NjRAT, Quasar RAT, Ramnit, RedLine, Remcos, RevengeRAT, XWorm en ZXShell.
Packers zijn zelfuitpakkende archieven die vaak worden gebruikt om software te bundelen en kleiner te maken. Maar door de jaren heen zijn dergelijke instrumenten door dreigingsactoren hergebruikt om een nieuwe laag van verduistering aan hun lading toe te voegen in een poging analyse te weerstaan.
De piek in misbruik van BoxedApp-producten zoals BoxedApp Packer en BxILMerge wordt toegeschreven aan een reeks voordelen die het een aantrekkelijke optie maken voor aanvallers die malware willen inzetten zonder te worden gedetecteerd door endpoint-beveiligingssoftware.
BoxedApp Packer kan worden gebruikt om zowel native als .NET PE's te verpakken, terwijl BxILMerge – vergelijkbaar met ILMerge – uitsluitend bedoeld is voor het verpakken van .NET-applicaties.
Dat gezegd hebbende, is het bekend dat BoxedApp-verpakte applicaties, inclusief niet-kwaadaardige, last hebben van een hoge fout-positieve (FP) detectiesnelheid wanneer ze worden gescand door anti-malware-engines.
“Door de kwaadaardige ladingen in te pakken, konden de aanvallers de detectie van bekende bedreigingen verlagen, hun analyse verscherpen en de geavanceerde mogelijkheden van BoxedApp SDK (bijvoorbeeld virtuele opslag) gebruiken zonder ze helemaal opnieuw te hoeven ontwikkelen”, aldus Vinopal.
“De BoxedApp SDK zelf opent ruimte voor het creëren van een op maat gemaakte, unieke packer die gebruik maakt van de meest geavanceerde functies en divers genoeg is om statische detectie te voorkomen.”
Malwarefamilies zoals Agent Tesla, FormBook, LokiBot, Remcos en XLoader zijn ook verspreid met behulp van een illegale packer met de codenaam NSIXloader die gebruikmaakt van het Nullsoft Scriptable Install System (NSIS). Het feit dat het wordt gebruikt om een gevarieerde reeks nuttige ladingen te leveren, impliceert dat het op het dark web wordt gecommercialiseerd en er inkomsten mee worden gegenereerd.
“Het voordeel voor cybercriminelen bij het gebruik van NSIS is dat ze monsters kunnen maken die op het eerste gezicht niet te onderscheiden zijn van legitieme installatieprogramma's”, zegt beveiligingsonderzoeker Alexey Bukhteyev.
“Omdat NSIS zelf compressie uitvoert, hoeven malware-ontwikkelaars geen compressie- en decompressie-algoritmen te implementeren. De scriptmogelijkheden van NSIS maken de overdracht van bepaalde kwaadaardige functionaliteit binnen het script mogelijk, waardoor de analyse complexer wordt.”
De ontwikkeling komt op het moment dat het QiAnXin XLab-team details onthulde van een andere packer met de codenaam Kiteshield die door meerdere bedreigingsactoren, waaronder Winnti en DarkMosquito, is gebruikt om Linux-systemen aan te vallen.
“Kiteshield is een packer/protector voor x86-64 ELF binaire bestanden op Linux”, aldus XLab-onderzoekers. “Kiteshield omhult ELF-binaire bestanden met meerdere coderingslagen en injecteert ze met ladercode die het ingepakte binaire bestand volledig in de gebruikersruimte decodeert, in kaart brengt en uitvoert.”
