NUEVO LOADER DESARROLLADO EN GO DENOMINADO CHERRYLOADER
24/04/2024
Descripción
CherryLoader es un nuevo cargador, escrito en Go, permite la modularización de funciones, lo que facilita el intercambio de exploits sin recompilar el código, permitiendo escalar privilegios, como PrintSpoofer y JuicyPotatoNG, para establecer persistencia en los dispositivos infectados.
Este loader utiliza un proceso de descifrado basado en XOR, con una clave específica “Kry”, permitiéndole a los atacantes evadir la detección mediante descifrado dinámico de archivos y generando persistencia en las máquinas afectadas.
Para evadir la detección hace uso del archivo File.log que es un ejecutable para realizar técnicas avanzadas como Process Ghosting para evadir la detección de seguridad. Esta técnica modular permite a los atacantes cambiar dinámicamente de exploits, como el uso de JuicyPotatoNG en lugar de PrintSpoofer, sin tener que recompilar el código. Por último, los ciberdelincuentes buscan establecer persistencia en la máquina víctima, deshabilitando la seguridad de Windows Defender, creando una cuenta de administrador y configurando conexiones remotas.
Vector de infección
Los ciberdelincuentes utilizan la dirección IP 141[.]11[.]187[.]70 para entregar archivos asociados a CherryLoader. Estos archivos incluyen un archivo .rar protegido con contraseña “Packed.rar” descomprimiendo un ejecutable “main.exe”, haciéndolo pasar por la aplicación legítima CherryTree.
Recomendaciones
CherryLoader puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:
- Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (hash md5, sha1 y sha256 son equivalentes).
- Crear políticas de control de aplicaciones para evitar la ejecución de archivos maliciosos y prevenir la infección por CherryLoader.
- Utilizar herramientas de análisis de tráfico de red para identificar patrones de comportamiento asociados con la actividad de CherryLoader.
Leer noticia: https://arcticwolf.com/resources/blog/cherryloader-a-new-go-based-loader-discovered-in-recent-intrusions/