Descargador PEAKLIGHT

Los investigadores de ciberseguridad han descubierto un nuevo cuentagotas diseñado para implementar etapas posteriores de malware, apuntando en última instancia a los sistemas Windows con ladrones y cargadores de información.

Este programa de descarga de solo memoria descifra y ejecuta un programa de descarga basado en PowerShell, identificado como PEAKLIGHT. Las cepas de malware distribuidas a través de este método incluyen Lumma Stealer , Hijack Loader (también conocido como DOILoader, IDAT Loader o SHADOWLADDER) y CryptBot , todas las cuales se ofrecen como parte de un modelo de malware como servicio (MaaS).

Vector de ataque inicial y cadena de ataque

La cadena de ataques comienza con un archivo de acceso directo de Windows (LNK) que se descarga mediante métodos de descarga automática, como cuando los usuarios buscan películas en línea. Estos archivos LNK se empaquetan en archivos ZIP camuflados como películas pirateadas.

Una vez descargado, el archivo LNK se conecta a una red de distribución de contenido (CDN) que aloja un dropper de JavaScript ofuscado que solo utiliza memoria. Luego, este dropper ejecuta el script de descarga de PowerShell PEAKLIGHT en la máquina de la víctima, que, a su vez, se comunica con un servidor de comando y control (C2) para recuperar más cargas útiles.

Los investigadores han observado varias variaciones de archivos LNK, algunas de las cuales utilizan asteriscos (*) como comodines para invocar el binario legítimo mshta.exe, lo que permite que el código malicioso (es decir, el cuentagotas) se ejecute discretamente desde un servidor remoto.

PEAKLIGHT esconde su acción amenazante detrás de películas legítimas

De manera similar, se ha descubierto que los droppers contienen cargas útiles de PowerShell codificadas en hexadecimal y en Base64. Estas cargas útiles se descomprimen para ejecutar PEAKLIGHT, una herramienta diseñada para implementar malware posterior en un sistema infectado y, al mismo tiempo, descargar un avance de película legítimo, probablemente como señuelo.

PEAKLIGHT funciona como un programa de descarga basado en PowerShell ofuscado dentro de una cadena de ejecución de varias etapas. Busca archivos ZIP en rutas de archivos codificadas de forma específica. Si no se encuentran estos archivos, el programa de descarga se comunica con un sitio CDN para descargar el archivo y guardarlo en el disco.

Este no es el primer caso de malware que ataca a usuarios que buscan películas pirateadas. A principios de junio de 2024, los investigadores descubrieron una sofisticada cadena de infección que dio lugar a la implementación de Hijack Loader tras un intento de descargar un archivo de vídeo de un sitio de descarga de películas.

Los descargadores abren la puerta a más malware especializado

El malware de descarga plantea varios peligros importantes tanto para personas como para organizaciones:

• Compromiso inicial : el malware de descarga suele ser la primera etapa de un ataque mayor. Una vez instalado, puede descargar e instalar de forma silenciosa cargas útiles maliciosas adicionales, incluido malware más avanzado.
• Robo de datos : las cargas útiles adicionales entregadas por el malware descargado pueden incluir ladrones de información que capturan datos privados, como credenciales de inicio de sesión, información financiera y detalles personales, lo que lleva al robo de identidad y pérdidas financieras.
• Secuestro del sistema : algunos programas maliciosos descargadores están diseñados para implementar herramientas de acceso remoto o puertas traseras, lo que permite a los atacantes obtener el control del sistema infectado. Esto puede provocar acceso no autorizado a redes corporativas, violaciones de datos y un mayor compromiso del sistema.
• Implementación de ransomware : el malware de descarga puede utilizarse para instalar ransomware, que puede cifrar los archivos de la víctima y exigir el pago de un rescate para liberarlos. Esto puede provocar una pérdida significativa de datos y una interrupción operativa.
• Mayor vulnerabilidad : una vez instalado, el malware descargador puede debilitar las defensas del sistema y crear vulnerabilidades que otros tipos de malware pueden aprovechar. Esto facilita que los atacantes implementen amenazas más peligrosas o persistentes.
• Propagación en la red : el malware descargador puede propagarse a través de redes e infectar otros dispositivos y sistemas dentro del mismo entorno. Esto puede causar daños generalizados y aumentar la complejidad de las tareas de reparación.
• Consumo de recursos : el malware puede consumir recursos del sistema, como CPU y ancho de banda, lo que provoca una disminución del rendimiento y posibles interrupciones del servicio. Esto puede afectar la productividad y aumentar los costos operativos.
• Riesgos legales y de cumplimiento normativo : las organizaciones infectadas pueden enfrentarse a problemas legales y de cumplimiento normativo, especialmente si la filtración de datos involucra información sensible o regulada. Esto puede derivar en multas, acciones legales y daños a la reputación.

En general, el malware de descarga es una amenaza grave debido a su función de facilitar futuros ataques y afectar la seguridad e integridad de los sistemas y redes afectados.