O Cyble Research and Intelligence Labs (CRIL) detectou recentemente o AresLoader, um novo carregador que está disseminando inúmeras famílias de malware.
Os carregadores de malware são projetados para implantar e executar diversas cepas de malware no sistema de computador alvo da vítima.
Para evitar a detecção por software antivírus, os carregadores geralmente empregam várias táticas, como criptografia ou ofuscação da carga maliciosa, tornando-a mais difícil de ser detectada por medidas de segurança.
Ares Loader
Em 2022, o AresLoader, um malware carregador codificado na linguagem de programação C, surgiu pela primeira vez.
Foi identificado que este carregador foi distribuído através de canais do Telegram e fóruns maliciosos.
AresLoader, desenvolvido pelos mesmos agentes de ameaça por trás do ransomware AiD Locker e distribuído como Malware-as-a-Service (MaaS).
Há uma taxa mensal de US$ 300 para o AresLoader, que inclui cinco imagens de construção.
Há também suspeitas de que os membros deste grupo tenham ligações com um grupo hacktivista sediado na Rússia.
Análise técnica
O notório AresLoader segue um modus operandi complexo. O binário inicial do carregador serve como um contêiner para o código incorporado que é posteriormente injetado em vários estágios, resultando em uma cadeia complexa de atividades maliciosas.
Durante uma análise mais aprofundada, percebeu-se que os métodos de extração e injeção do código do carregador em cada binário são inconsistentes em todo o código.
Ao atualizar constantemente suas técnicas de infecção, os agentes da ameaça evitam as medidas de segurança implementadas pelas ferramentas antivírus e, não apenas isso, também foram observadas várias cepas de malware usando este carregador.
Além disso, CRIL descoberto um repositório GitLab que distribui o malware AresLoader localizado em: –
- hxxps[:]//gitlab.com/citrixchat-project/citrixproject/
Embora tenha sido detectado que os agentes de ameaças estão visando ativamente os usuários do Citrix com este repositório disfarçado de “citrixproject”.
Durante a execução do AresLoader, o malware utiliza um binário de 32 bits compilado em C, que invoca a API CreateWindowEx() usando os seguintes elementos:-
- GLSample (nome da classe)
- Amostra OpenGL (nome da janela)
Essa característica distinta é uma das muitas maneiras pelas quais os especialistas em segurança cibernética identificam e rastreiam o carregador.
Na tentativa de complicar a detecção e análise deste malware, o hashing de API é empregado, e aqui as APIs visadas pertencem a:-
A seguir está uma lista de funções de API que o carregador recupera: –
- pLdrFindResource_U
- pLdrAccessResource
- pNtAllocateVirtualMemory
- pNtQueueApcThread
- pNtTestAlert
Descriptografar os dados de recursos obtidos anteriormente é a próxima etapa do processo e, a partir da seção .rdata, uma chave é adquirida para realizar esse processo completo.
O loop de descriptografia começa imediatamente após a memória ter sido alocada e a memória alocada temporariamente é usada para armazenar o arquivo PE recém-descriptografado.
Além disso, usando uma solicitação POST, o AresLoader registra a vítima no Servidor C&C usando informações adicionais obtidas do sistema da vítima.
Recomendações
A seguir, mencionamos todas as recomendações oferecidas pelos especialistas em segurança: –
- Não baixe arquivos de sites desconhecidos.
- Certifique-se de que um pacote de software antivírus e de segurança de Internet confiável proteja seus dispositivos conectados, como PC, laptop e telefone celular.
- Certifique-se de verificar a autenticidade de todos os links e anexos de um e-mail antes de abri-los.
- Proteja os funcionários contra ameaças como phishing e URLs não confiáveis, educando-os sobre os riscos.
- O beacon deve ser monitorado no nível da rede para evitar a exfiltração de dados por malware ou invasores.
- Garanta que os sistemas dos funcionários estejam protegidos por uma solução de prevenção contra perda de dados (DLP).
