Istraživači cyber sigurnosti otkrili su novi učitavač zlonamjernog softvera za izbjegavanje pod nazivom SquidLoader koji se širi putem phishing kampanja koje ciljaju kineske organizacije.
AT&T LevelBlue Labs, koji je prvi uočio zlonamjerni softver krajem aprila 2024., rekao je da on uključuje značajke koje su dizajnirane da osujeti statičku i dinamičku analizu i na kraju izbjegnu otkrivanje.
Lanci napada koriste phishing e-poruke koje dolaze s prilozima koji se maskiraju kao Microsoft Word dokumenti, ali u stvarnosti su binarne datoteke koje utiru put za izvršenje zlonamjernog softvera, koji se zatim koristi za dohvaćanje korisnih podataka u drugoj fazi shellcode-a sa udaljenog servera, uključujući Cobalt Strike.
Neke od tehnika odbrambenog izbjegavanja koje je usvojio SquidLoader obuhvataju korištenje šifriranih segmenata koda, besmislenog koda koji ostaje neiskorišten, zamagljivanje Kontrolnog toka (CFG), otkrivanje debagera i izvođenje direktnih sistemskih poziva umjesto pozivanja Windows NT API-ja.
Loader zlonamjerni softver postao je popularna roba u kriminalnom podzemlju za hakere koji žele isporučiti i pokrenuti dodatni teret kompromitovanim hostovima, zaobilazeći antivirusnu odbranu i druge sigurnosne mjere.
Prošle godine, Aonov incident sa Strozom Friedbergom detaljno je opisao loader poznat kao Taurus Loader koji je primijećen kako distribuira Taurus krađi informacija, kao i AgentVX , trojanac sa mogućnostima da izvrši više zlonamjernog softvera i podesi postojanost koristeći promjene Windows Registry-a i prikuplja podatke.
Razvoj dolazi kao nova dubinska analiza učitavača zlonamjernog softvera i backdoor-a koji se naziva PikaBot koji je naglasio da ga njegovi programeri nastavljaju aktivno razvijati od njegovog pojavljivanja u februaru 2023. godine.
“Zlonamjerni softver koristi napredne tehnike anti-analize kako bi izbjegao otkrivanje i ojačao analizu, uključujući provjere sistema, indirektne sistemske pozive, šifriranje sljedeće faze i nizova, i dinamičku API rezoluciju”, rekao je Sekoia . “Nedavna ažuriranja zlonamjernog softvera dodatno su poboljšala njegove mogućnosti, što ga čini još izazovnijim za otkrivanje i ublažavanje.”
Takođe slijede nalazi BitSight-a da je infrastruktura povezana s drugim zlonamjernim softverom za učitavanje pod nazivom Latrodectus otišla van mreže nakon napora za provođenje zakona pod nazivom Operation Endgame koji je vidio preko 100 botnet servera, uključujući one povezane sa IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee , i TrickBot, demontirani.
Izvor:The Hacker News