Un nuovo loader di malware basato su Go, denominato CherryLoader, è stato scoperto in azione per distribuire payload aggiuntivi su host compromessi per sfruttamenti successivi. Arctic Wolf Labs, che ha scoperto questo nuovo strumento di attacco in due intrusioni recenti, ha rivelato che l’icona e il nome del loader imitano l’applicazione legittima per la presa di appunti CherryTree, ingannando le potenziali vittime affinché lo installino.
Caratteristiche e Distribuzione
CherryLoader è stato utilizzato per rilasciare uno dei due strumenti di escalation dei privilegi, PrintSpoofer o JuicyPotatoNG, che eseguono poi un file batch per stabilire la persistenza sul dispositivo della vittima. Inoltre, CherryLoader dispone di funzionalità modulari che consentono all’attore della minaccia di sostituire gli exploit senza dover ricompilare il codice.
Non è ancora chiaro come venga distribuito il loader, ma le catene di attacco esaminate dalla società di cybersecurity mostrano che CherryLoader (“cherrytree.exe”) e i suoi file associati sono contenuti all’interno di un archivio RAR (“Packed.rar”) ospitato sull’indirizzo IP 141.11.187.70. Insieme al file RAR viene scaricato un eseguibile (“main.exe”) utilizzato per decomprimere e lanciare il binario Golang, che procede solo se il primo argomento passato corrisponde a un hash della password MD5 codificato.
Tecniche e Implicazioni
Il loader successivamente decodifica “NuxtSharp.Data” e scrive i suoi contenuti in un file denominato “File.log” sul disco, che a sua volta è progettato per decodificare ed eseguire “Spof.Data” come “12.log” utilizzando una tecnica fileless nota come process ghosting. Questa tecnica è modulare per design e consentirà all’attore della minaccia di sfruttare altri codici di exploit al posto di Spof.Data.
Un’escalation di privilegi riuscita è seguita dall’esecuzione di uno script batch denominato “user.bat” per configurare la persistenza sull’host, disabilitare Microsoft Defender e modificare le regole del firewall per facilitare le connessioni remote.
CherryLoader è un downloader multi-stadio recentemente identificato che sfrutta diversi metodi di crittografia e altre tecniche anti-analisi nel tentativo di detonare exploit di escalation dei privilegi disponibili pubblicamente senza dover ricompilare alcun codice.