CherryLoader: Nuovo Malware Go che Mimica CherryTree per Esporre Exploit di Privilegi
CherryLoader: Il Nuovo Malware che Si Nasconde Dietro CherryTree
Un recente malware basato su Go, denominato CherryLoader, è stato individuato dai ricercatori di minacce mentre si insinuava nei sistemi per orchestrare attacchi successivi. Arctic Wolf Labs ha identificato questo pericoloso strumento in due intrusioni recenti, mettendo in luce le sue astute tattiche di camuffamento.
CherryLoader adotta l’aspetto e il nome della legittima applicazione di appunti CherryTree, cercando di ingannare le vittime potenziali durante l’installazione. Questo stratagemma dietro la maschera benigna di un’applicazione comune è solo l’inizio delle sue azioni dannose.
Il malware è stato utilizzato per rilasciare uno dei due strumenti di escalation dei privilegi: PrintSpoofer o JuicyPotatoNG. Questi strumenti eseguono successivamente un file batch per stabilire la persistenza sul dispositivo della vittima, aprendo la strada a ulteriori attività dannose.
Un aspetto innovativo di CherryLoader è la sua modularità. Questa caratteristica consente all’attaccante di sostituire gli exploit senza dover ricompilare il codice, rendendo il malware ancora più difficile da individuare e contrastare.
Attualmente, non è noto il metodo di distribuzione di CherryLoader. Tuttavia, le catene di attacco analizzate mostrano che il malware, insieme ai suoi file associati, è contenuto in un file di archivio RAR ospitato su un particolare indirizzo IP.
L’analisi rivela che CherryLoader utilizza un eseguibile per scompattare e avviare il binario Golang, richiedendo un hash di password MD5 specifico come verifica. Il malware procede poi a decifrare e eseguire diversi file, sfruttando tecniche avanzate come il “process ghosting”, che rende la rilevazione ancora più complessa.
Il processo associato a uno dei file, “12.log”, è legato a uno strumento open-source di escalation dei privilegi chiamato PrintSpoofer, mentre un altro file, “Juicy.Data”, introduce un diverso strumento di escalation dei privilegi denominato JuicyPotatoNG.
L’escalation dei privilegi riuscita è seguita dall’esecuzione di uno script di file batch per stabilire la persistenza sull’host e disattivare Microsoft Defender.
In conclusione, CherryLoader si configura come un nuovo e sofisticato downloader a più stadi. Sfruttando diverse tecniche crittografiche e anti-analisi, cerca di eseguire exploit di escalation dei privilegi, senza dover ricompilare il codice. Una minaccia avanzata che richiede attenzione e misure preventive adeguate per proteggere gli utenti e gli ambienti digitali.