Téléchargeur PEAKLIGHT

Des chercheurs en cybersécurité ont découvert un nouveau dropper conçu pour déployer des étapes ultérieures de malware, ciblant finalement les systèmes Windows avec des voleurs et des chargeurs d'informations.

Ce dropper en mémoire seule déchiffre et exécute un téléchargeur basé sur PowerShell, identifié comme PEAKLIGHT. Les souches de malwares distribuées via cette méthode incluent Lumma Stealer , Hijack Loader (également connu sous le nom de DOILoader, IDAT Loader ou SHADOWLADDER) et CryptBot , qui sont tous proposés dans le cadre d'un modèle de malware en tant que service (MaaS).

Vecteur d'attaque initial et chaîne d'attaque

La chaîne d'attaque commence par un fichier de raccourci Windows (LNK) téléchargé via des méthodes de téléchargement par inadvertance, par exemple lorsque les utilisateurs recherchent des films en ligne. Ces fichiers LNK sont regroupés dans des archives ZIP déguisées en films piratés.

Une fois téléchargé, le fichier LNK se connecte à un réseau de diffusion de contenu (CDN) qui héberge un dropper JavaScript obscurci et en mémoire uniquement. Ce dropper exécute ensuite le script de téléchargement PEAKLIGHT PowerShell sur la machine de la victime, qui, à son tour, contacte un serveur de commande et de contrôle (C2) pour récupérer d'autres charges utiles.

Les chercheurs ont observé diverses variantes de fichiers LNK, certains utilisant des astérisques (*) comme caractères génériques pour invoquer le binaire mshta.exe légitime, permettant au code malveillant (c'est-à-dire au dropper) d'être exécuté discrètement à partir d'un serveur distant.

PEAKLIGHT cache son action menaçante derrière des films légitimes

De même, les droppers contiennent des charges utiles PowerShell codées en hexadécimal et en Base64. Ces charges utiles sont décompressées pour exécuter PEAKLIGHT, un outil conçu pour déployer des logiciels malveillants ultérieurs sur un système infecté tout en téléchargeant une bande-annonce de film légitime, probablement comme leurre.

PEAKLIGHT fonctionne comme un téléchargeur PowerShell obscurci au sein d'une chaîne d'exécution à plusieurs étapes. Il recherche des archives ZIP dans des chemins de fichiers spécifiques codés en dur. Si ces archives ne sont pas trouvées, le téléchargeur contacte un site CDN pour télécharger le fichier d'archive et l'enregistrer sur le disque.

Ce n’est pas la première fois que des malwares ciblent des utilisateurs à la recherche de films piratés. Début juin 2024, des chercheurs ont découvert une chaîne d’infection sophistiquée qui a abouti au déploiement de Hijack Loader suite à une tentative de téléchargement d’un fichier vidéo à partir d’un site de téléchargement de films.

Les téléchargeurs ouvrent la porte à des logiciels malveillants plus spécialisés

Les logiciels malveillants téléchargeurs présentent plusieurs dangers importants pour les particuliers et les organisations :

• Compromission initiale : les programmes malveillants téléchargeurs constituent souvent la première étape d'une attaque plus vaste. Une fois installés, ils peuvent télécharger et installer silencieusement des charges malveillantes supplémentaires, notamment des programmes malveillants plus avancés.
• Vol de données : les charges utiles supplémentaires fournies par les programmes malveillants téléchargeurs peuvent inclure des voleurs d'informations qui capturent des données privées, telles que les identifiants de connexion, les informations financières et les données personnelles, entraînant un vol d'identité et des pertes financières.
• Détournement du système : certains programmes malveillants téléchargeurs sont conçus pour déployer des outils d'accès à distance ou des portes dérobées, permettant aux attaquants de prendre le contrôle du système infecté. Cela peut entraîner un accès non autorisé aux réseaux d'entreprise, des violations de données et d'autres compromissions du système.
• Déploiement de ransomware : un logiciel malveillant téléchargeur peut être utilisé pour installer un ransomware, qui peut crypter les fichiers d'une victime et exiger le paiement d'une rançon pour leur libération. Cela peut entraîner une perte de données importante et une interruption opérationnelle.
• Vulnérabilité accrue : une fois installés, les programmes malveillants téléchargeurs peuvent affaiblir les défenses du système et créer des vulnérabilités que d'autres types de programmes malveillants peuvent exploiter. Cela permet aux attaquants de déployer plus facilement des menaces plus dangereuses ou persistantes.
• Propagation sur le réseau : les programmes malveillants téléchargeurs peuvent se propager sur les réseaux et infecter d'autres appareils et systèmes au sein du même environnement. Cela peut provoquer des dommages étendus et accroître la complexité des efforts de correction.
• Drainage des ressources : le logiciel malveillant peut consommer des ressources système telles que le processeur et la bande passante, ce qui entraîne une dégradation des performances et des interruptions de service potentielles. Cela peut affecter la productivité et augmenter les coûts opérationnels.
• Risques juridiques et de conformité : les organisations infectées peuvent être confrontées à des problèmes juridiques et de conformité, en particulier si la violation de données concerne des informations sensibles ou réglementées. Cela peut entraîner des amendes, des actions en justice et une atteinte à la réputation.

Dans l’ensemble, les programmes malveillants téléchargeurs constituent une menace sérieuse en raison de leur rôle dans la facilitation de nouvelles attaques et dans la dégradation de la sécurité et de l’intégrité des systèmes et réseaux affectés.