Investigadores de ciberseguridad han descubierto cómo se utilizan películas piratas como anzuelo para descargar un malware del tipo info stealers.
"Este dropper se descrifra en memoria y ejecuta un download basado en PowerShell", dijo Mandiant, propiedad de Google. "Este descargador basado en PowerShell está siendo rastreado como PEAKLIGHT".
Algunas de las cepas de malware distribuidas mediante esta técnica son Lumma Stealer, Hijack Loader, (también conocido como DOILoader, IDAT Loader o SHADOWLADDER) y CryptBot, todos los cuales se anuncian bajo el modelo de malware como servicio (SaaS).
El punto de partida de la cadena de ataque es un archivo de acceso directo de Windows (LNK) que se descarga mediante técnicas de descarga no autorizada, por ejemplo, cuando los usuarios buscan una película en los motores de búsqueda. Vale la pena señalar que los archivos LNK se distribuyen en archivos ZIP disfrazados de películas pirateadas.
El archivo LNK se conecta a una red de entrega de contenido (CDN) que aloja un dropper de JavaScript de solo memoria ofuscado. Posteriormente, el dropper ejecuta el script de descarga PEAKLIGHT PowerShell en el host, que luego se comunica con un servidor de comando y control (C2) para recuperar cargas útiles adicionales.
Mandiant dijo que identificó diferentes variaciones de los archivos LNK, algunos de los cuales aprovechan los asteriscos (*) como comodines para iniciar el binario mshta.exe legítimo para ejecutar discretamente código malicioso (es decir, el cuentagotas) recuperado de un servidor remoto.
De manera similar, se ha descubierto que los droppers incorporan cargas útiles de PowerShell con codificación hexadecimal y base64 que finalmente se descomprimen para ejecutar PEAKLIGHT, que está diseñado para entregar malware de siguiente etapa en un sistema comprometido mientras se descarga simultáneamente un avance de película legítimo, probablemente como una artimaña.
"PEAKLIGHT es un download ofuscado basado en PowerShell que forma parte de una cadena de ejecución de múltiples etapas que verifica la presencia de archivos ZIP en rutas de archivos codificadas", dijeron los investigadores de Mandiant, Aaron Lee y Praveeth D'Souza. "Si los archivos no existen, el programa de descarga se comunicará con un sitio CDN y descargará el archivo alojado remotamente y lo guardará en el disco".
La divulgación se produce cuando Malwarebytes detalló otra campaña de publicidad maliciosa que emplea anuncios fraudulentos de la Búsqueda de Google para Slack, una plataforma de comunicaciones empresariales, para dirigir a los usuarios a sitios web falsos que albergan instaladores maliciosos que culminan con la implementación de un troyano de acceso remoto llamado SectopRAT.
Fuente: THN