Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware PEAKLIGHT Downloader

PEAKLIGHT Downloader

Von Mezo in Malware
Übersetzen Sie in:
Deutsch

Cybersicherheitsforscher haben einen neuartigen Dropper entdeckt, der darauf ausgelegt ist, nachfolgende Malware-Stufen auszuspielen und letztlich mit Informationsdieben und -Loadern auf Windows-Systeme abzuzielen.

Dieser Memory-Only-Dropper entschlüsselt und führt einen PowerShell-basierten Downloader namens PEAKLIGHT aus. Zu den mit dieser Methode verbreiteten Malware-Stämmen zählen Lumma Stealer , Hijack Loader (auch bekannt als DOILoader, IDAT Loader oder SHADOWLADDER) und CryptBot , die alle als Teil eines Malware-as-a-Service-Modells (MaaS) angeboten werden.

Ursprünglicher Angriffsvektor und Angriffskette

Die Angriffskette beginnt mit einer Windows-Verknüpfungsdatei (LNK), die über Drive-by-Download-Methoden heruntergeladen wird, beispielsweise wenn Benutzer online nach Filmen suchen. Diese LNK-Dateien werden in ZIP-Archiven verpackt und als Raubkopien getarnt.

Nach dem Download stellt die LNK-Datei eine Verbindung zu einem Content Delivery Network (CDN) her, das einen verschleierten, nur auf den Speicher beschränkten JavaScript-Dropper hostet. Dieser Dropper führt dann das PEAKLIGHT PowerShell-Downloader-Skript auf dem Computer des Opfers aus, das wiederum einen Command-and-Control-Server (C2) kontaktiert, um weitere Nutzdaten abzurufen.

Forscher haben verschiedene LNK-Dateivarianten beobachtet. Einige davon verwendeten Sternchen (*) als Platzhalter, um die legitime Binärdatei mshta.exe aufzurufen. Dadurch konnte der Schadcode (also der Dropper) diskret von einem Remote-Server ausgeführt werden.

PEAKLIGHT versteckt seine bedrohliche Wirkung hinter legitimen Filmen

Ebenso wurde festgestellt, dass die Dropper sowohl hexadezimal als auch Base64-kodierte PowerShell-Payloads enthalten. Diese Payloads werden entpackt, um PEAKLIGHT auszuführen, ein Tool, das darauf ausgelegt ist, auf einem infizierten System nachfolgende Malware zu installieren und gleichzeitig einen legitimen Filmtrailer herunterzuladen, wahrscheinlich als Ablenkungsmanöver.

PEAKLIGHT fungiert als verschleierter PowerShell-basierter Downloader innerhalb einer mehrstufigen Ausführungskette. Es sucht in bestimmten fest codierten Dateipfaden nach ZIP-Archiven. Wenn diese Archive nicht gefunden werden, kontaktiert der Downloader eine CDN-Site, um die Archivdatei herunterzuladen und auf der Festplatte zu speichern.

Dies ist nicht der erste Fall von Malware, die auf Benutzer abzielt, die nach Raubkopien von Filmen suchen. Anfang Juni 2024 deckten Forscher eine ausgeklügelte Infektionskette auf, die zur Bereitstellung von Hijack Loader führte, nachdem versucht wurde, eine Videodatei von einer Film-Download-Site herunterzuladen.

Downloader öffnen Tür und Tor für spezialisiertere Malware

Downloader-Malware birgt mehrere erhebliche Gefahren für Einzelpersonen und Organisationen:

  • Erste Kompromittierung : Downloader-Malware ist oft die erste Phase eines größeren Angriffs. Nach der Installation kann sie unbemerkt weitere schädliche Payloads, darunter auch fortgeschrittenere Malware, herunterladen und installieren.
  • Datendiebstahl : Zu den zusätzlichen Nutzdaten von Downloader-Malware können auch Informationsdiebe gehören, die private Daten wie Anmeldeinformationen, Finanzinformationen und persönliche Angaben erfassen, was zu Identitätsdiebstahl und finanziellen Verlusten führen kann.
  • System-Hijacking : Manche Downloader-Malware ist darauf ausgelegt, Remote-Access-Tools oder Hintertüren einzusetzen, die es Angreifern ermöglichen, Kontrolle über das infizierte System zu erlangen. Dies kann zu unbefugtem Zugriff auf Unternehmensnetzwerke, Datenlecks und weiteren Systembeeinträchtigungen führen.
  • Einsatz von Ransomware : Downloader-Malware kann zur Installation von Ransomware verwendet werden, die die Dateien eines Opfers verschlüsseln und für deren Freigabe eine Lösegeldzahlung verlangen kann. Dies kann zu erheblichem Datenverlust und Betriebsstörungen führen.
  • Erhöhte Anfälligkeit : Nach der Installation kann Downloader-Malware die Systemabwehr schwächen und Schwachstellen schaffen, die von anderen Arten von Malware ausgenutzt werden können. Dies erleichtert Angreifern die Bereitstellung gefährlicherer oder hartnäckigerer Bedrohungen.
  • Netzwerkausbreitung : Downloader-Malware kann sich über Netzwerke verbreiten und andere Geräte und Systeme in derselben Umgebung infizieren. Dies kann weitreichende Schäden verursachen und die Komplexität der Sanierungsbemühungen erhöhen.
  • Ressourcenverbrauch : Die Malware kann Systemressourcen wie CPU und Bandbreite verbrauchen, was zu Leistungseinbußen und potenziellen Dienstausfällen führen kann. Dies kann die Produktivität beeinträchtigen und die Betriebskosten erhöhen.
  • Rechtliche und Compliance-Risiken : Infizierte Organisationen können mit rechtlichen und Compliance-Problemen konfrontiert werden, insbesondere wenn der Datenverstoß vertrauliche oder regulierte Informationen betrifft. Dies kann zu Geldstrafen, rechtlichen Schritten und Reputationsschäden führen.

Insgesamt stellt Downloader-Malware eine ernste Bedrohung dar, da sie weitere Angriffe ermöglicht und die Sicherheit und Integrität der betroffenen Systeme und Netzwerke beeinträchtigt.

Im Trend

Am häufigsten gesehen

Wird geladen...