Специалисты AT&T LevelBlue Labs обнаружили новый загрузчик малвари, получивший название SquidLoader. Вредонос распространяется через фишинговые кампании и нацелен на китайские организации.
Впервые SquidLoader был замечен в конце апреля, но LevelBlue Labs считает, что активность он проявлял как минимум с марта, злоумышленники, использующие SquidLoader, атакуют организации в Китае намного дольше.
Как правило, атаки начинаются с фишинговых писем, в которых бинарники загрузчика вредоносного ПО выдаются за документы, предназначенные для китайских организаций. При выполнении загрузчик получает и выполняет полезную нагрузку в виде шелл-кода. Отмечается, что при этом шелл-код загружается в самом процессе загрузчика, вероятно, чтобы избежать записи полезной нагрузки на диск.
Изученные образцы SquidLoader оказались подписаны легитимным, хотя и просроченным, сертификатом и подключались к управляющим серверам, использующим самоподписанный сертификат.
После запуска загрузчик сначала дублирует себя в заранее определенном месте, используя безобидное имя для маскировки. SquidLoader имеет и другие функции и механизмы, призванные помешать статическому и динамическому анализу, а также призванные помочь малвари избежать обнаружения.
Так, вредонос использует такие методы уклонения от обнаружения, как использование зашифрованных сегментов кода, использование бессмысленного кода, который так и остается неиспользованным, обфускацию Control Flow Graph (CFG), переходы в середину инструкций, умеет обнаружить отладчики и применяет прямые syscall'ы вместо вызова API Windows NT.
По словам исследователей, пока загрузчик доставляет лишь одну полезную нагрузку — маяк Cobalt Strike с конфигурацией, ранее наблюдавшейся во многих других кампаниях, нацеленных на китайских пользователей. При этом эксперты пишут, что у них недостаточно данных, чтобы классифицировать стоящих за SquidLoader злоумышленников как APT и связать их с конкретным кластером угроз.
«Учитывая эффективность, которую демонстрирует SquidLoader, уклоняясь от обнаружения, вполне вероятно, что злоумышленники, нацеленные на демографические группы за пределами Китая, начнут подражать его методам, что поможет им избежать обнаружения и анализа их уникальных образцов вредоносного ПО», — предупреждают в LevelBlue Labs.