تم نشر برنامج PEAKLIGHT Dropper الجديد في الهجمات التي تستهدف نظام التشغيل Windows من خلال تنزيلات الأفلام الضارة
اكتشف باحثو الأمن السيبراني قطارة لم يسبق لها مثيل تعمل كقناة لإطلاق برامج ضارة في المرحلة التالية بهدف نهائي هو إصابة أنظمة Windows بسرقة المعلومات وتحميلها.
“هذه القطارة المخصصة للذاكرة فقط تقوم بفك تشفير وتنفيذ برنامج التنزيل المستند إلى PowerShell،” شركة Mandiant المملوكة لشركة Google قال. “يتم تتبع برنامج التنزيل المستند إلى PowerShell باعتباره PEAKLIGHT.”
بعض سلالات البرامج الضارة الموزعة باستخدام هذه التقنية هي Lumma Stealer وHijack Loader (المعروف أيضًا باسم DOILoader أو IDAT Loader أو SHADOWLADDER) وCryptBot، والتي يتم الإعلان عنها جميعًا ضمن نموذج البرامج الضارة كخدمة (SaaS).
نقطة البداية لسلسلة الهجوم هي ملف اختصار Windows (LNK) الذي يتم تنزيله عبر تقنيات التنزيل من محرك الأقراص – على سبيل المثال، عندما يبحث المستخدمون عن فيلم على محركات البحث. تجدر الإشارة إلى أن ملفات LNK يتم توزيعها ضمن أرشيفات ZIP متنكرة في صورة أفلام مقرصنة.
يتصل ملف LNK بشبكة توصيل المحتوى (CDN) التي تستضيف قطارة جافا سكريبت المبهمة للذاكرة فقط. تقوم القطارة بعد ذلك بتنفيذ البرنامج النصي لتنزيل PEAKLIGHT PowerShell على المضيف، والذي يصل بعد ذلك إلى خادم القيادة والتحكم (C2) لجلب حمولات إضافية.
وقالت شركة Mandiant إنها حددت أشكالًا مختلفة من ملفات LNK، بعضها يستخدم العلامات النجمية
كأحرف بدل لتشغيل الملف الثنائي الشرعي mshta.exe لتشغيل التعليمات البرمجية الضارة (أي القطارة) التي تم استردادها من خادم بعيد بشكل سري.
وعلى نفس المنوال، تم العثور على برامج القطارات لتضمين حمولات PowerShell ذات التشفير السداسي والتشفير Base64 والتي تم تفريغها في النهاية لتنفيذ PEAKLIGHT، والذي تم تصميمه لتقديم برامج ضارة في المرحلة التالية على نظام مخترق مع تنزيل مقطع دعائي لفيلم شرعي في نفس الوقت. ، على الأرجح كخدعة.
الأمن السيبراني
“إذا لم تكن الأرشيفات موجودة، فسيقوم برنامج التنزيل بالتواصل مع موقع CDN وتنزيل ملف الأرشيف المستضاف عن بُعد وحفظه على القرص.” ويأتي الكشف باسم Malwarebytes مفصل أ حملة إعلانية ضارة
لقراءة المزيد من المحتوى الحصري الذي ننشره.
Source link
إرسال التعليق