Campo Loader

Campo Loader (ou NLoader) est une menace de malware qui est exploitée dans des campagnes d'attaque contre des entités japonaises. Campo Loader agit comme une menace précoce conçue pour fournir les véritables charges utiles des logiciels malveillants sur les ordinateurs déjà compromis. On a observé que Campo Loader abandonnait plusieurs charges utiles différentes, en fonction de l'acteur de la menace spécifique et de ses objectifs particuliers. Le nom donné à la menace était basé sur un chemin contenant «/ campo /» qui est utilisé lors de la communication avec le serveur Command-and-Control (C2, C&C).

Après avoir été exécuté, la première tâche de Campo Loader est de créer un répertoire avec un nom codé en dur. L'étape suivante consiste à tenter d'atteindre le serveur C2. Pour cela, la menace envoie une chaîne «ping» via POST et attend les réponses entrantes. Le serveur Openfield renvoie une URL en réponse mais, avant que Campo Loader ne poursuive ses activités menaçantes, il vérifie si le message des serveurs C2 commence par un «h». Si ce n'est pas le cas, le logiciel malveillant met fin au processus.

Sinon, un deuxième message «ping» est à nouveau transmis à l'URL fournie à l'aide de la méthode POST. Cela conduit à une deuxième charge utile extraite par Campo Loader et enregistrée en tant que fichier sur le système compromis. Le nom du fichier est à nouveau codé en dur dans la menace. Ensuite, rundll32.exe sera abusé pour appeler une fonction nommée «DF» dans le fichier DLL qui a été téléchargé.

Dans les versions antérieures des campagnes d'attaque, Campo Loader était distribué sous la forme d'un fichier .exe qui pouvait être téléchargé et exécuté. Il a également exécuté les charges utiles de la prochaine étape telles que Ursnif et Zloader directement. Les variantes les plus récentes, cependant, ont tendance à préférer l'utilisation des versions DLL alors que la charge utile fournie est passée à DFDownloader.