A equipe de pesquisa de uma empresa de segurança cibernética identificou agentes de ameaças usando um novo downloader de malware baseado em Go em dois ataques recentes.
O Arctic Wolf Labs o chama de “CherryLoader”. Isso permite que invasores compartilhem explorações sem recompilar o código. O ícone e o nome do carregador foram disfarçados como o aplicativo de anotações CherryTree para enganar as vítimas. Os ataques examinados usaram CherryLoader para instalar PrintSpoofer ou JuicyPotatoNG. Ambas são ferramentas de escalonamento de acesso que executam um arquivo em lote após a instalação. Isso permite que os invasores permaneçam no dispositivo da vítima.
As descobertas mais importantes
- Lobo Ártico observou o uso de um novo carregador baseado em Go – chamado “CherryLoader” – nos ataques atuais.
- O carregador contém funções modulares, que permite que invasores compartilhem explorações sem precisar recompilar o código.
- O “Cherry Loader” usa duas explorações de escalonamento de privilégios disponíveis publicamente.
- Cadeia de ataque do CherryLoader usa processamento fantasma e permite que os atores da ameaça aumentem seus direitos de acesso e, assim, persistam nos computadores das vítimas.
Sobre o Lobo do Ártico A Arctic Wolf é líder global em operações de segurança, fornecendo a primeira plataforma de operações de segurança nativa da nuvem para mitigar o risco cibernético. Com base na telemetria de ameaças, abrangendo endpoints, redes e fontes de nuvem, o Arctic Wolf® Security Operations Cloud analisa mais de 1,6 trilhão de eventos de segurança por semana em todo o mundo. Ele fornece insights críticos para a empresa em quase todos os casos de uso de segurança e otimiza as soluções de segurança heterogêneas dos clientes. A plataforma Arctic Wolf é usada por mais de 2.000 clientes em todo o mundo. Ele fornece detecção e resposta automatizadas a ameaças, permitindo que organizações de todos os tamanhos configurem operações de segurança de classe mundial com o toque de um botão.