Campo Loader

Campo Loader (o NLoader) es una amenaza de malware que se aprovecha en campañas de ataque contra entidades japonesas. Campo Loader actúa como una amenaza de etapa inicial diseñada para entregar las cargas útiles de malware real en las computadoras ya comprometidas. Se ha observado que Campo Loader deja caer varias cargas útiles diferentes, según el actor de amenaza específico y sus objetivos particulares. El nombre dado a la amenaza se basó en una ruta que contiene '/ campo /' que se utiliza durante la comunicación con el servidor de Comando y Control (C2, C&C).

Después de ser ejecutado, la primera tarea de Campo Loader es crear un directorio con un nombre codificado. El siguiente paso es intentar llegar al servidor C2. Para ese propósito, la amenaza envía una cadena 'ping' a través de POST y espera las respuestas entrantes. El servidor Openfield devuelve una URL como respuesta pero, antes de que Campo Loader continúe con sus actividades amenazantes, verifica si el mensaje de los servidores C2 comienza con una 'h'. Si no es así, el malware finaliza el proceso.

De lo contrario, se transmite un segundo mensaje 'ping' a la URL proporcionada nuevamente utilizando el método POST. Esto lleva a que Campo Loader recupere una segunda carga útil y la guarde como un archivo en el sistema comprometido. El nombre del archivo vuelve a estar codificado en la amenaza. Luego, se abusará de rundll32.exe para llamar a una función llamada 'DF' en el archivo DLL que se descargó.

En versiones anteriores de las campañas de ataque, Campo Loader se distribuía en forma de archivo .exe que se podía descargar y ejecutar. También ejecutó las cargas útiles de la siguiente etapa como Ursnif y Zloader directamente. Sin embargo, las variaciones más recientes tienden a preferir el uso de versiones DLL, mientras que la carga útil entregada se ha desplazado a DFDownloader.