13/01/25
Исследователи безопасности TRAC Labs обнаружили новый вредоносный загрузчик PEAKLIGHT на базе PowerShell, разработанный для распространения инфостилеров через модель «вредоносного ПО как услуга». Об этом пишет Securitylab.
По данным экспертов, начальным вектором заражения служат LNK-файлы (ярлыки Windows), которые подключаются к CDN для загрузки дроппера на JavaScript. Этот дроппер исполняет PowerShell-скрипт, который, в свою очередь, загружает вредоносный код. Среди зафиксированных вредоносных программ — LummaC2, HijackLoader и CryptBot.
PEAKLIGHT также известен как Emmenhtal Loader. Вредоносные LNK-файлы используют PowerShell в связке с «mshta.exe» для загрузки и выполнения полезных нагрузок. Например, файл «Instruction_1928_W9COI.pdf.lnk» содержит аргументы, запускающие «mshta.exe» с указанием на удалённый JSON-файл. Этот файл, в свою очередь, скачивает исполняемый файл «dxdiag.exe», содержащий зашифрованную полезную нагрузку на JavaScript.
Ключевым элементом PEAKLIGHT являются много уровней скрытности. Код включает числовые массивы, преобразуемые в строки с помощью функции String.fromCharCode, и шифрование AES. Зашифрованныая нагрузка расшифровывается и выполняется в памяти с использованием метода CreateDecryptor из библиотеки .NET. Данные превращаются в команды PowerShell, запускаемые через base64-кодирование.
Загрузчик AutoIt, встроенный в PEAKLIGHT, представляет собой ещё одну степень маскировки. Используя DLL-функции, такие как VirtualProtect, скрипт декодирует зашифрованную полезную нагрузку и исполняет её прямо из памяти. Этот метод позволяет избежать обнаружения традиционными антивирусными инструментами.
Конечная полезная нагрузка PEAKLIGHT, известная как DarkGate, включает инструменты для инъекции в процессы, маскировки и выполнения шпионских функций. Например, она может использовать метод Process Hollowing для скрытного внедрения вредоносного кода в легитимные процессы Windows.
Анализ показал использование целого ряда защитных механизмов, включая проверку среды на виртуализацию и достаточное количество свободной памяти. Скачивание полезных нагрузок осуществляется с доменов, маскирующихся под легитимные сервисы, например «docu-sign[.]info».
Для обеспечения надёжной защиты TRAC Labs рекомендует специалистам безопасности мониторить следующие активности:
- Обращение к подозрительным URL-адресам (например, docu-sign[.]info и timeless-tales[.]shop);
- Запуск PowerShell-скриптов с base64-кодированием;
- Активность файлов в TEMP-папке;
- Выполнение AutoIt-скриптов.
