Campo Loader

Campo Loader (oder NLoader) ist eine Malware-Bedrohung, die in Angriffskampagnen gegen japanische Unternehmen eingesetzt wird. Campo Loader stellt eine frühzeitige Bedrohung dar, mit der die tatsächlichen Malware-Nutzdaten auf den bereits gefährdeten Computern bereitgestellt werden sollen. Es wurde beobachtet, dass Campo Loader je nach dem spezifischen Bedrohungsakteur und seinen jeweiligen Zielen mehrere unterschiedliche Nutzlasten liefert. Der Name der Bedrohung basierte auf einem Pfad mit '/ campo /', der während der Kommunikation mit dem Command-and-Control-Server (C2, C & C) verwendet wird.

Nach der Ausführung besteht die erste Aufgabe von Campo Loader darin, ein Verzeichnis mit einem fest codierten Namen zu erstellen. Der nächste Schritt besteht darin, zu versuchen, den C2-Server zu erreichen. Zu diesem Zweck sendet die Bedrohung per POST einen String-Ping und wartet auf eingehende Antworten. Der Openfield-Server gibt eine URL als Antwort zurück. Bevor Campo Loader seine Bedrohungsaktivitäten fortsetzt, prüft er, ob die Nachricht von den C2-Servern mit einem "h" beginnt. Ist dies nicht der Fall, beendet die Malware den Vorgang.

Andernfalls wird eine zweite Ping-Nachricht mithilfe der POST-Methode erneut an die angegebene URL gesendet. Dies führt dazu, dass eine zweite Nutzlast von Campo Loader abgerufen und als Datei auf dem gefährdeten System gespeichert wird. Der Name der Datei ist in der Bedrohung erneut fest codiert. Dann wird rundll32.exe missbraucht, um eine Funktion namens 'DF' in der heruntergeladenen DLL-Datei aufzurufen.

In früheren Versionen der Angriffskampagnen wurde Campo Loader in Form einer EXE-Datei verteilt, die heruntergeladen und ausgeführt werden konnte. Es wurden auch die Nutzlasten der nächsten Stufe wie Ursnif und Zloader direkt ausgeführt. Die neueren Varianten bevorzugen jedoch die Verwendung von DLL-Versionen, während die gelieferte Nutzlast auf DFDownloader verschoben wurde.