SnatchLoader
SnatchLoader se conoce como un malware de descarga: es responsable de entregar amenazas de malware adicionales en una máquina que ya ha logrado comprometer. El desarrollo de SnatchLoader ha experimentado un período de baja actividad, pero la amenaza se ha observado como parte de campañas de ataque activo, como la entrega del troyano bancario Ramnit. Si bien no es único, una característica curiosa de este malware de descarga es que está equipado con 'bloqueo geográfico'. En la práctica, esto da como resultado que el malware se ejecute en algunos países mientras que, en otros, simplemente se termina. Los investigadores que analizaron una muestra de SnatchLoader determinaron que el Reino Unido e Italia se encontraban entre los objetivos viables, mientras que los usuarios de Francia, Estados Unidos y Hong Kong estaban a salvo.
Para realizar llamadas a la API de Windows, SnatchLoader usa un hash de nombre de función en tiempo de ejecución. En cuanto al manejo de la comunicación con su infraestructura de Comando y Control (C2, C&C), emplea HTTPS. Los investigadores de seguridad de la información aislaron cuatro tipos de solicitudes diferentes.
Primero, SnatchLoader realiza una solicitud de "obtener configuración dinámica", seguida de una solicitud de "enviar información del sistema". En este paso, el malware envía varios datos del sistema al servidor de los piratas informáticos. Entre los datos extraídos se encuentran detalles como versiones de Windows, arquitectura, nombre de usuario, nombre de la computadora, agente de usuario, lista de procesos, etc.
Para verificar si hay comandos de los piratas informáticos, SnatchLoader realiza una solicitud de 'encuesta de comando'. Debido a su naturaleza como cargador, los comandos son principalmente para varias formas de descargar y ejecutar módulos de malware adicionales: se ejecutan normalmente, se inyectan en explorer.exe o se ejecutan a través de rundll32. Los investigadores también observaron una funcionalidad de complemento de SnatchLoader para una amenaza de cripto minería de Monero. La última solicitud al C2 se utiliza para enviar los resultados de la ejecución de un comando específico.
