A SquidLoader malware kínai szervezeteket vesz célba

Kiberbiztonsági kutatók egy új, SquidLoader nevű, kitérő malware-töltőprogramot fedeztek fel, amely kínai szervezeteket célzó adathalászkampányokon keresztül terjed. Az AT&T LevelBlue Labs 2024. április végén figyelte meg először a rosszindulatú programot, és megjegyezte, hogy kifinomult jellemzőit úgy tervezték, hogy elkerüljék mind a statikus, mind a dinamikus elemzést, és elkerüljék a felismerést. A rosszindulatú szoftvereket olyan adathalász e-maileken keresztül juttatják el, amelyek Microsoft Word dokumentumnak tűnő mellékleteket tartalmaznak, de valójában bináris állományok, amelyek a rosszindulatú programot futtatják. Aktiválását követően a SquidLoader egy távoli szerverről tölti le a második fázisú shellcode hasznos terheléseket, köztük a Cobalt Strike-ot.

A SquidLoader különböző védekezési technikákat alkalmaz, például titkosított kódszegmenseket, nem használt kódot, Control Flow Graph (CFG) elkenést, hibakereső észlelést és közvetlen rendszerhívásokat, hogy elkerülje a felismerést. Ez értékes eszközzé teszi a bűnözői alvilágban, hogy további hasznos terheket juttasson el a megtámadott gépekre, miközben megkerüli a vírusvédelmet. A betöltő azon képessége, hogy a shellcode-ot ugyanabban a folyamatban tartja anélkül, hogy a lemezre írná, tovább csökkenti a felismerés kockázatát. Ez a felfedezés tovább bővíti a kifinomult betöltő rosszindulatú programok egyre növekvő listáját, rávilágítva a kiberbiztonság kihívásaira.

(forrás)