21/06/24
По данным специалистов LevelBlue Labs, впервые зафиксировавших этот вредоносный код в конце апреля 2024 года, SquidLoader использует методы, позволяющие избежать статического и динамического анализа и, в конечном счёте, обнаружения.
Цепочки атак используют фишинговые электронные письма с вложениями, которые маскируются под документы Microsoft Word, но на самом деле являются бинарными файлами, запускающими выполнение вредоносного кода. Этот код используется для загрузки второго этапа вредоносного ПО с удалённого сервера, включая Cobalt Strike, пишет Securitylab.
Исследователь безопасности Фернандо Домингес отмечает, что загрузчики обладают сложными механизмами уклонения и создания ложных целей, что помогает им оставаться незамеченными и затрудняет анализ. Поставляемый шелл-код загружается в тот же процесс, чтобы избежать записи вредоносного ПО на диск и тем самым не попасть под обнаружение.
SquidLoader применяет различные техники уклонения, такие как использование зашифрованных сегментов кода, ненужного кода, который остаётся неиспользованным, обфускация графа управления потоком (CFG), обнаружение отладчиков и выполнение прямых системных вызовов вместо вызовов API Windows NT.
Загрузчики вредоносного ПО стали популярными среди злоумышленников, стремящихся доставить и запустить дополнительные полезные нагрузки на скомпрометированных устройствах, обходя антивирусные защиты и другие меры безопасности.
Эволюция киберугроз требует постоянной бдительности и адаптации. Организациям следует не только укреплять технические аспекты защиты, но и обучать сотрудников распознавать фишинговые атаки, ведь даже самые продвинутые системы безопасности можно обойти благодаря человеческому фактору.
