Nieuwe PEAKLIGHT Dropper ingezet bij aanvallen gericht op Windows met kwaadaardige filmdownloads

Cybersecurityonderzoekers hebben een nooit eerder geziene dropper ontdekt die dient als kanaal voor het lanceren van malware van de volgende fase, met als uiteindelijk doel Windows-systemen te infecteren met informatiedieven en loaders.

“Deze memory-only dropper decodeert en voert een PowerShell-gebaseerde downloader uit,” zei Mandiant, eigendom van Google. “Deze PowerShell-gebaseerde downloader wordt gevolgd als PEAKLIGHT.”

Enkele van de malwarevarianten die met behulp van deze techniek worden verspreid, zijn Lumma Stealer, Hijack Loader (ook bekend als DOILoader, IDAT Loader of SHADOWLADDER) en CryptBot. Deze worden allemaal geadverteerd onder het malware-as-a-service (SaaS)-model.

Het startpunt van de aanvalsketen is een Windows-snelkoppelingsbestand (LNK) dat wordt gedownload via drive-by downloadtechnieken, bijvoorbeeld wanneer gebruikers een film opzoeken op zoekmachines. Het is de moeite waard om te benadrukken dat de LNK-bestanden worden verspreid in ZIP-archieven die vermomd zijn als gekopieerde films.

Het LNK-bestand maakt verbinding met een content delivery network (CDN) dat een verduisterde memory-only JavaScript-dropper host. De dropper voert vervolgens het PEAKLIGHT PowerShell-downloaderscript uit op de host, die vervolgens contact opneemt met een command-and-control (C2)-server om extra payloads op te halen.

Mandiant zei dat het verschillende variaties van de LNK-bestanden heeft geïdentificeerd, waarvan sommige gebruikmaken van sterretjes

als jokers om het legitieme binaire bestand mshta.exe te starten en op discrete wijze schadelijke code (d.w.z. de dropper) uit te voeren die is opgehaald van een externe server.

Op vergelijkbare wijze zijn er droppers gevonden die zowel hex-gecodeerde als Base64-gecodeerde PowerShell-payloads bevatten die uiteindelijk worden uitgepakt om PEAKLIGHT uit te voeren. PEAKLIGHT is ontworpen om malware van de volgende fase op een gecompromitteerd systeem te installeren en tegelijkertijd een legitieme filmtrailer te downloaden, waarschijnlijk als list.

“PEAKLIGHT is een verhulde PowerShell-gebaseerde downloader die deel uitmaakt van een meerfasenuitvoeringsketen die controleert op de aanwezigheid van ZIP-archieven in hardgecodeerde bestandspaden”, aldus Mandiant-onderzoekers Aaron Lee en Praveeth D’Souza.

“Als de archieven niet bestaan, zal de downloader contact opnemen met een CDN-site, het op afstand gehoste archiefbestand downloaden en op schijf opslaan.”

De onthulling komt nadat Malwarebytes een malvertisingcampagne heeft beschreven die gebruikmaakt van frauduleuze Google-zoekadvertenties voor Slack, een communicatieplatform voor bedrijven, om gebruikers naar valse websites te leiden die schadelijke installatieprogramma’s hosten. Dit resulteert in de implementatie van een trojan voor externe toegang met de naam SectopRAT.

Thijs Van der Does