Se ha descubierto una nueva carga de malware basada en Go llamada CherryLoader, utilizada para distribuir cargas útiles adicionales en dispositivos comprometidos para su posterior explotación. Este nuevo cargador se camufla como la legítima aplicación de notas CherryTree para engañar a posibles víctimas para que lo instalen. Arctic Wolf Labs, que descubrió esta nueva herramienta de ataque en dos intrusiones recientes, afirmó que se utiliza para instalar una de dos herramientas de escalada de privilegios, PrintSpoofer o JuicyPotatoNG, que luego ejecutarían un archivo por lotes para establecer la persistencia en el dispositivo de la víctima.
CherryLoader también incluye características modularizadas que permiten al actor de amenazas intercambiar exploits sin recompilar código. Sin embargo, actualmente no se sabe cómo se distribuye el cargador. Las cadenas de ataque examinadas por la firma de ciberseguridad muestran que CherryLoader («cherrytree.exe») y sus archivos asociados («NuxtSharp.Data,» «Spof.Data,» y «Juicy.Data») se encuentran en un archivo RAR («Packed.rar») alojado en la dirección IP 141.11.187[.]70.
El archivo RAR se descarga junto con un archivo ejecutable («main.exe») que se utiliza para descomprimir e iniciar el binario de Golang. El cargador posteriormente descifra «NuxtSharp.Data» y escribe su contenido en un archivo llamado «File.log» en el disco que, a su vez, está diseñado para decodificar y ejecutar «Spof.Data» como «12.log» usando una técnica sin archivo conocida como «process ghosting» que salió a la luz por primera vez en junio de 2021.
Una escalada de privilegios exitosa va seguida de la ejecución de un script de archivo por lotes llamado «user.bat» para establecer la persistencia en el host y desarmar a Microsoft Defender. «CherryLoader es un cargador multi-etapa recién identificado que utiliza diferentes métodos de cifrado y otras técnicas anti-análisis en un intento de detonar exploits de escalada de privilegios alternativos y públicamente disponibles sin tener que recompilar ningún código», concluyeron los investigadores. En resumen, CherryLoader es una nueva amenaza de malware multifacética y modular, diseñada para comprometer dispositivos y establecer la persistencia en ellos para su posterior explotación. Es importante tomar medidas proactivas de ciberseguridad para evitar ser víctima de este tipo de ataques.
