Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVO LOADER DESARROLLADO EN GO DENOMINADO CHERRYLOADER

24/04/2024

NUEVO LOADER DESARROLLADO EN GO DENOMINADO CHERRYLOADER
Se observó una nueva amenaza de tipo loader denominado CherryLoader, basado en el lenguaje de programación Go, para llevar a cabo sus ataques de manera sigilosa. Este loader, suplanta la identidad de la aplicación legítima notas CherryTree, permitió a los actores de amenaza intercambiar exploits sin tener que recompilar el código, dificultado su detección.

Descripción

CherryLoader es un nuevo cargador, escrito en Go, permite la modularización de funciones, lo que facilita el intercambio de exploits sin recompilar el código, permitiendo escalar privilegios, como PrintSpoofer y JuicyPotatoNG, para establecer persistencia en los dispositivos infectados.

Este loader utiliza un proceso de descifrado basado en XOR, con una clave específica “Kry”, permitiéndole a los atacantes evadir la detección mediante descifrado dinámico de archivos y generando persistencia en las máquinas afectadas.

Para evadir la detección hace uso del archivo File.log que es un ejecutable para realizar técnicas avanzadas como Process Ghosting para evadir la detección de seguridad. Esta técnica modular permite a los atacantes cambiar dinámicamente de exploits, como el uso de JuicyPotatoNG en lugar de PrintSpoofer, sin tener que recompilar el código. Por último, los ciberdelincuentes buscan establecer persistencia en la máquina víctima, deshabilitando la seguridad de Windows Defender, creando una cuenta de administrador y configurando conexiones remotas.

Vector de infección

Los ciberdelincuentes utilizan la dirección IP 141[.]11[.]187[.]70 para entregar archivos asociados a CherryLoader. Estos archivos incluyen un archivo .rar protegido con contraseña “Packed.rar” descomprimiendo un ejecutable “main.exe”, haciéndolo pasar por la aplicación legítima CherryTree.

Recomendaciones

CherryLoader puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (hash md5, sha1 y sha256 son equivalentes).
  • Crear políticas de control de aplicaciones para evitar la ejecución de archivos maliciosos y prevenir la infección por CherryLoader.
  • Utilizar herramientas de análisis de tráfico de red para identificar patrones de comportamiento asociados con la actividad de CherryLoader.

Leer noticia: https://arcticwolf.com/resources/blog/cherryloader-a-new-go-based-loader-discovered-in-recent-intrusions/