Investigadores de ciberseguridad han revelado un nuevo dropper que sirve como puerta de enlace para desplegar malware en sistemas Windows. El dropper opera en memoria para descifrar y ejecutar un descargador basado en PowerShell conocido como PEAKLIGHT.
Este método distribuye varias cepas de malware, incluyendo Lumma Stealer, Hijack Loader, IDAT Loader y CryptBot, todas ofrecidas como servicios de malware (SaaS).
La cadena de ataque comienza con un archivo de acceso directo de Windows (LNK) descargado a través de técnicas de descarga accidental, como la búsqueda de películas en buscadores. Estos archivos LNK se camuflan como películas pirateadas dentro de archivos ZIP.
El archivo LNK se conecta a un dropper JavaScript en memoria a través de una red de entrega de contenido (CDN). Este dropper ejecuta el descargador PowerShell PEAKLIGHT, que se comunica con un servidor de comando y control (C2) para obtener cargas adicionales.
Además, los investigadores han identificado variaciones de los archivos LNK que utilizan asteriscos (*) como comodines para ejecutar código malicioso. Otros droppers incrustan cargas útiles de PowerShell codificadas en hexadecimal y Base64 para ejecutar PEAKLIGHT.
PEAKLIGHT es un descargador basado en PowerShell que verifica la presencia de archivos ZIP en rutas codificadas de manera rígida. Si estos archivos no existen, el descargador se conecta a un sitio CDN y descarga el archivo alojado de forma remota.
Este descubrimiento se suma a la recurrente implementación de malware dirigida a usuarios en búsqueda de películas pirateadas. A principios de junio, se detalló una cadena de infección compleja que desplegó Hijack Loader tras intentar descargar un video de un sitio de descarga de películas.
Además, Malwarebytes reveló una campaña publicitaria maliciosa que utiliza anuncios falsos de búsqueda en Google para Slack, llevando a usuarios a sitios web que alojan instaladores maliciosos que resultan en la implementación de un troyano de acceso remoto llamado SectopRAT.
Vía The Hacker News
