{"id":20536,"date":"2024-09-10T19:00:29","date_gmt":"2024-09-10T22:00:29","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=20536"},"modified":"2024-09-11T11:08:41","modified_gmt":"2024-09-11T14:08:41","slug":"peaklight-downloader-utilizado-em-ataques-visando-o-windows","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/09\/diversos\/peaklight-downloader-utilizado-em-ataques-visando-o-windows\/","title":{"rendered":"PEAKLIGHT Downloader utilizado em ataques visando o Windows"},"content":{"rendered":"\n

PEAKLIGHT Downloader implantado em ataques visando o Windows com downloads de filmes Maliciosos<\/p>\n

\u00a0<\/p>\n

Pesquisadores de ciberseguran\u00e7a descobriram um dropper in\u00e9dito que funciona como um intermedi\u00e1rio para lan\u00e7ar malwares subsequentes com o objetivo final de infectar sistemas Windows com ladr\u00f5es de informa\u00e7\u00f5es e carregadores de malware.<\/p>\n

\u00a0<\/p>\n

“Este dropper, que reside apenas na mem\u00f3ria, descriptografa e executa um downloader baseado em PowerShell”, informou a Mandiant, uma empresa pertencente ao Google. “Esse downloader baseado em PowerShell est\u00e1 sendo rastreado sob o nome PEAKLIGHT.”<\/p>\n

\u00a0<\/p>\n

Algumas das cepas de malware distribu\u00eddas usando essa t\u00e9cnica incluem o Lumma Stealer<\/strong>, Hijack Loader<\/strong> (tamb\u00e9m conhecido como DOILoader, IDAT Loader ou SHADOWLADDER) e CryptBot<\/strong>, todos anunciados sob o modelo de malware como servi\u00e7o (MaaS, na sigla em ingl\u00eas).<\/p>\n

\u00a0<\/p>\n

Cadeia de ataque: LNK malicioso em arquivos ZIP<\/h3>\n

\u00a0<\/p>\n

O ponto de partida desta cadeia de ataque \u00e9 um arquivo de atalho do Windows (LNK) que \u00e9 baixado por meio de t\u00e9cnicas de download drive-by \u2014 por exemplo, quando os usu\u00e1rios procuram por um filme em motores de busca. Esses arquivos LNK s\u00e3o distribu\u00eddos dentro de arquivos ZIP, disfar\u00e7ados como filmes pirateados.<\/p>\n

\u00a0<\/p>\n

O arquivo LNK conecta-se a uma rede de entrega de conte\u00fado (CDN) que hospeda um dropper JavaScript ofuscado, que reside apenas na mem\u00f3ria. Esse dropper, em seguida, executa o script do downloader PEAKLIGHT no host, que se comunica com um servidor de comando e controle (C2) para buscar cargas maliciosas adicionais.<\/p>\n

\u00a0<\/p>\n

Varia\u00e7\u00f5es e t\u00e9cnicas de ofusca\u00e7\u00e3o<\/h3>\n

\u00a0<\/p>\n

A Mandiant tamb\u00e9m identificou varia\u00e7\u00f5es dos arquivos LNK, algumas das quais utilizam asteriscos (*) como curingas para executar o bin\u00e1rio leg\u00edtimo mshta.exe<\/strong>, a fim de rodar de forma discreta o c\u00f3digo malicioso (o dropper) recuperado de um servidor remoto.<\/p>\n

\u00a0<\/p>\n

Al\u00e9m disso, os droppers foram encontrados incorporando cargas \u00fateis de PowerShell codificadas em hexadecimal e Base64, que, eventualmente, s\u00e3o descompactadas para executar o PEAKLIGHT. Este, por sua vez, entrega malware de pr\u00f3xima fase no sistema comprometido enquanto, simultaneamente, baixa um trailer de filme leg\u00edtimo, provavelmente como uma distra\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

“PEAKLIGHT \u00e9 um downloader baseado em PowerShell ofuscado, que faz parte de uma cadeia de execu\u00e7\u00e3o em m\u00faltiplos est\u00e1gios, e verifica a presen\u00e7a de arquivos ZIP em caminhos de arquivos pr\u00e9-determinados,” relataram os pesquisadores da Mandiant, Aaron Lee e Praveeth D’Souza. “Se os arquivos n\u00e3o existirem, o downloader se conectar\u00e1 a um site CDN e baixar\u00e1 o arquivo hospedado remotamente, salvando-o no disco.”<\/p>\n

\u00a0<\/p>\n

\"\"<\/a><\/div>\n

\u00a0<\/p>\n

Hist\u00f3rico de ataques com filmes piratas<\/h3>\n

\u00a0<\/p>\n

Esse tipo de ataque n\u00e3o \u00e9 novidade para usu\u00e1rios que buscam filmes pirateados. Em junho de 2024, a empresa de seguran\u00e7a Kroll detalhou uma cadeia de infec\u00e7\u00e3o complexa que levou ao uso do Hijack Loader<\/strong> ap\u00f3s a tentativa de baixar um v\u00eddeo de um site de filmes.<\/p>\n

\u00a0<\/p>\n

Dave Truman, pesquisador de seguran\u00e7a da Kroll, relatou ao The Hacker News<\/em> que o dropper \u201cparece ter exatamente o mesmo c\u00f3digo\u201d do malware observado na campanha de junho, sugerindo que ambos os ataques s\u00e3o, provavelmente, de autoria do mesmo grupo de amea\u00e7as.<\/p>\n

\u00a0<\/p>\n

Campanhas de malvertising e impacto mais amplo<\/h3>\n

\u00a0<\/p>\n

Essa revela\u00e7\u00e3o ocorre ao mesmo tempo em que a Malwarebytes detalha uma campanha de malvertising<\/strong> que utiliza an\u00fancios falsos do Google Search para a plataforma de comunica\u00e7\u00e3o empresarial Slack<\/strong>, direcionando usu\u00e1rios a sites fraudulentos que hospedam instaladores maliciosos, culminando na implanta\u00e7\u00e3o de um trojan de acesso remoto chamado SectopRAT<\/strong>.<\/p>\n

\u00a0<\/p>\n

O cen\u00e1rio em que malwares est\u00e3o sendo distribu\u00eddos atrav\u00e9s de downloads de filmes piratas \u00e9 um alerta para o crescente uso de malware-as-a-service, colocando usu\u00e1rios desavisados em risco ao baixar supostos filmes gratuitos.<\/p>\n

\u00a0<\/p>\n

Conclus\u00e3o<\/h3>\n

\u00a0<\/p>\n

Os ataques cibern\u00e9ticos envolvendo o PEAKLIGHT e o uso de filmes piratas como isca mostram a sofistica\u00e7\u00e3o crescente dos cibercriminosos. O uso de downloaders baseados em PowerShell, ofuscados por m\u00faltiplas camadas, e a t\u00e9cnica de disfar\u00e7ar malware em trailers leg\u00edtimos tornam esses ataques ainda mais dif\u00edceis de detectar. \u00c9 essencial que os usu\u00e1rios evitem baixar conte\u00fado pirata e usem solu\u00e7\u00f5es robustas de seguran\u00e7a para proteger seus sistemas.<\/p>\n

\u00a0<\/p>\n

Fonte: https:\/\/thehackernews.com\/2024\/08\/new-peaklight-dropper-deployed-in.html<\/a><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

PEAKLIGHT Downloader implantado em ataques visando o Windows com downloads de filmes Maliciosos \u00a0 Pesquisadores de ciberseguran\u00e7a descobriram um dropper in\u00e9dito que funciona como um intermedi\u00e1rio para lan\u00e7ar malwares subsequentes com o objetivo final de infectar sistemas Windows com ladr\u00f5es de informa\u00e7\u00f5es e carregadores de malware. \u00a0 “Este dropper, que reside apenas na mem\u00f3ria, descriptografa […]<\/p>\n","protected":false},"author":2,"featured_media":20538,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[100],"tags":[],"class_list":["post-20536","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diversos"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=20536"}],"version-history":[{"count":11,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20536\/revisions"}],"predecessor-version":[{"id":20570,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20536\/revisions\/20570"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/20538"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=20536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=20536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=20536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}