Niedawne ostrzeżenie wydane przez firmę Google zajmującą się bezpieczeństwem cybernetycznym Mandiant zwraca uwagę na nowy szczep złośliwego oprogramowania o nazwie Peaklight, którego celem są w szczególności osoby pobierające pirackie filmy. To złośliwe oprogramowanie stwarza poważne ryzyko nie tylko ze względu na potencjalne problemy prawne, ale także narażenie na złośliwe oprogramowanie, które może poważnie zagrozić komputerom z systemem Windows.
Co to jest złośliwe oprogramowanie Peaklight?
Według wpisu na blogu Mandiant (używając Times of India), Peaklight działa w tajemnicy w pamięci komputera, co utrudnia wykrycie, ponieważ nie pozostawia śladów na dysku twardym. Naukowcy opisują to jako nic innego jak narzędzie do pobierania pamięci, które uruchamia oparty na PowerShell downloader o nazwie PEAKLIGHT. Ten moduł pobierania może załadować dodatkowe złośliwe oprogramowanie do zaatakowanego systemu, zwiększając zagrożenie dla użytkowników.
Przeczytaj także: Inteligentne odpowiedzi obsługiwane przez Google Gemini pojawiają się w Gmailu – wszystkie szczegóły
Mandiant wyjaśnia, że Peaklight wykorzystuje ukryty skrypt PowerShell do wstrzykiwania większej liczby złośliwego oprogramowania do zainfekowanych urządzeń. Takie podejście pozwala cyberprzestępcom dostarczać różnorodne złośliwe oprogramowanie, w tym Lumma Stealer, Hijack Loader i CryptBot. Programy te są dostępne jako usługi do wynajęcia, które umożliwiają atakującym kradzież wrażliwych danych lub przejęcie kontroli nad systemami, których dotyczą.
Jak cyberprzestępcy wykorzystują Peaklight
Cyberprzestępcy opracowali taktykę dystrybucji Peaklight poprzez zwodnicze pobieranie filmów. Ukrywają niebezpieczne pliki skrótów systemu Windows (LNK) w folderach ZIP, podszywając się pod popularne filmy. Kiedy użytkownik otwiera te pliki, ujawnia się szereg szkodliwych działań:
Przeczytaj także: Wydarzenie Apple w październiku 2024 r.: nowe komputery Mac M4 i iPady w przyszłości; iPhone SE 4, Watch SE 3 pojawią się w 2025 roku
1. Połączenie z ukrytym źródłem: Plik LNK łączy się z siecią dostarczania treści (CDN), skąd pobiera złośliwy kod JavaScript. Kod ten jest wykonywany bezpośrednio w pamięci komputera, z pominięciem wykrycia na dysku twardym.
2. Aktywacja downloadera: JavaScript uruchamia skrypt PowerShell o nazwie Peaklight, wywołując reakcję łańcuchową ułatwiającą rozprzestrzenianie się złośliwego oprogramowania.
3. Pobieranie dodatkowych zagrożeń: Działając jako moduł pobierania, Peaklight przenosi ze zdalnego serwera dodatkowe złośliwe oprogramowanie, w tym programy takie jak Lumma Stealer, Hijack Loader i CryptBot, które mogą naruszyć dane użytkownika lub dać atakującym kontrolę nad systemem.
Przeczytaj także: Użytkownicy WhatsApp wkrótce otrzymają filtry w aparacie wbudowanym w aplikację. Oto, co wiemy
W raporcie podkreślono, że uruchomienie Peaklight w pamięci komputera (RAM) poprawia jego ukrywanie. Tradycyjne rozwiązania antywirusowe często skupiają się na skanowaniu dysku twardego, co utrudnia wykrycie tego typu zagrożenia.
Badacze Mandiant, Aaron Lee i Pravit D’Souza, stwierdzają: „PEAKLIGHT to program do pobierania oparty na PowerShell, będący częścią wieloetapowego łańcucha wykonawczego, który sprawdza obecność archiwów ZIP w zakodowanych na stałe ścieżkach plików. Jeśli te archiwa nie są dostępne, moduł pobierania kontaktuje się z witryną CDN, aby pobrać zdalnie hostowany plik archiwum i zapisać go na dysku.
Użytkownikom zaleca się zachowanie ostrożności podczas pobierania treści z nieautoryzowanych źródeł, aby uniknąć padnięcia ofiarą złośliwego oprogramowania, takiego jak Peaklight.
