CherryLoader կոչվող Go-based malware loader-ը տարբեր հաքերների կողմից լայնամասշտաբորեն կիրառվել է բազմաշերտ թիրախներում:
Arctic Wolf Labs-ի փոխանցմամբ, loader’s icon-ը կիրառվում է որպես թվացյալ շերտ՝ CherryTree տեղակայելու համար:
«CherryLoader-ը կիրառել է հետևյալ գործիքներից մեկը՝ PrintSpoofer-ը կամ JuicyPotatoNG-ը, թիրախային սարքերում արտոնության հասնելու համար», – նշում են հետազոտողներ՝ Հեդի Ազամը, Քրիստոֆեր Պրեստը և Սթիվեն Քեմփբելը:
Ներկայումս հայտնի չէ, թե իրականում ինչպես է աշխատում loader-ը, սակայն կիբերանվտանգության ոլորտի ընկերության կողմից իրականացված հետազոտությունների համաձայն, CherryLoader («cherrytree.exe»)-ը և դրան շաղկապված ֆայլերը՝ «NuxtSharp.Data», «Spof.Data», «Juicy» պարունակվում են RAR արխիվային ֆայլեր («Packed.rar») և տեղակայված են 141.11.187[.]70 IP հասցեում:
RAR ֆայլի հետ ներբեռնված («main.exe»)-ն օգտագործվում է Golang binary-ին գործարկելու համար:
Արտոնությունների հաջող աճին հաջորդում է «user.bat» ֆայլի սկրիպտային գործարկումը, որը host-ի վրա հաստատում է իր կայունությունը:
«CherryLoader-ը multi-stage downloader է, որը գաղտնագրման տարբեր մեթոդներ է կիրառում», – եզրակացրել են փորձագետները:
Աղբյուրը՝ https://thehackernews.com/
