PEAKLIGHT: слоёный пирог из обфускации парализует защиту корпоративных сетей

Исследователи безопасности TRAC Labs обнаружили новый вредоносный загрузчик PEAKLIGHT на базе PowerShell , разработанный для распространения инфостилеров через модель «вредоносного ПО как услуга».

По данным экспертов, начальным вектором заражения служат LNK-файлы (ярлыки Windows), которые подключаются к CDN для загрузки дроппера на JavaScript. Этот дроппер исполняет PowerShell-скрипт, который, в свою очередь, загружает вредоносный код. Среди зафиксированных вредоносных программ — LummaC2, HijackLoader и CryptBot.

PEAKLIGHT также известен как Emmenhtal Loader. Вредоносные LNK-файлы используют PowerShell в связке с «mshta.exe» для загрузки и выполнения полезных нагрузок. Например, файл «Instruction_1928_W9COI.pdf.lnk» содержит аргументы, запускающие «mshta.exe» с указанием на удалённый JSON-файл. Этот файл, в свою очередь, скачивает исполняемый файл «dxdiag.exe», содержащий зашифрованную полезную нагрузку на JavaScript.

Ключевым элементом PEAKLIGHT является многослойная обфускация. Код включает числовые массивы, преобразуемые в строки с помощью функции String.fromCharCode, и шифрование AES. Зашифрованный пейлоад расшифровывается и выполняется в памяти с использованием метода CreateDecryptor из библиотеки .NET. Обфусцированные данные превращаются в команды PowerShell, запускаемые через base64-кодирование.

Загрузчик AutoIt , встроенный в PEAKLIGHT, представляет собой ещё одну степень маскировки. Используя DLL-функции, такие как VirtualProtect, скрипт декодирует зашифрованную полезную нагрузку и исполняет её прямо из памяти. Этот метод позволяет избежать обнаружения традиционными антивирусными инструментами.

Конечная полезная нагрузка PEAKLIGHT, известная как DarkGate, включает инструменты для инъекции в процессы, маскировки и выполнения шпионских функций. Например, она может использовать метод Process Hollowing для скрытного внедрения вредоносного кода в легитимные процессы Windows.

Анализ показал использование целого ряда защитных механизмов, включая проверку среды на виртуализацию и достаточное количество свободной памяти. Скачивание полезных нагрузок осуществляется с доменов, маскирующихся под легитимные сервисы, например «docu-sign[.]info».

Для обеспечения надёжной защиты TRAC Labs рекомендует специалистам безопасности мониторить следующие активности:

• Обращение к подозрительным URL-адресам (например, docu-sign[.]info и timeless-tales[.]shop);
• Запуск PowerShell-скриптов с base64-кодированием;
• Активность файлов в TEMP-папке;
• Выполнение AutoIt-скриптов.

Использование сложных методов обфускации и многоуровневой загрузки делает PEAKLIGHT одним из наиболее опасных угроз для современных систем. TRAC Labs продолжит отслеживать эту кампании, чтобы своевременно обнаруживать новые TTP и предоставлять необходимые инструменты защиты.