Peaklight letöltő
A TRAC Labs elemzett egy új, Peaklight nevű, PowerShell-alapú letöltőt (downloader). A PEAKLIGHT terjesztése Microsoft Parancsikon fájlok (LNK) segítségével történik, amelyek egy tartalomszolgáltató hálózaton (CDN) tárolt JavaScript droppert töltenek le.
A LNK fájlok PowerShell parancsokat futtatnak, amelyek a mshta.exe segítségével JavaScript fájlokat töltenek le és hajtanak végre.Obfuszkált JavaScript kódot tartalmaz, amely további rosszindulatú szoftvereket tölt le és futtat. A PowerShellszkript további payloadokat, például LummaC2, HijackLoader és CryptBot malware-eket tölt le.
A Peaklight különböző információtolvaj (infostealer) malware-eket juttat a célrendszerekre, amelyek érzékeny adatokat gyűjtenek.
Ez a kampány demonstrálja a törvényes eszközökkel és technikákkal, például a PowerShell-lel és az AutoIt-lel való folyamatos visszaélést a rosszindulatú programok szállítására és végrehajtására, miközben elkerüli a hagyományos észlelési mechanizmusokat. A homályosítás, a csak memóriát használó végrehajtás és a látszólag jóindulatú folyamatok, például az mshta.exe és az EnumWindows kihasználásával a támadók hatékonyan megkerülik a végponti védelmet.