Ein ausgeklügelter Lader namens „in2al5d p3in4er“ (ausgesprochen wie ein ungültiger Drucker) wurde von Cybersecurity-Forschern identifiziert. Dieser Loader wurde entwickelt, um die Aurora Information Stealer-Malware zu verbreiten, und nutzt fortschrittliche Anti-Virtual-Machine-Techniken, um Endpunkt-Workstations anzugreifen.

Einem Bericht von Morphisec zufolge wird der Loader mit Embarcadero RAD Studio kompiliert und kann sich der Erkennung entziehen, indem er ausführbare Dateien für mehrere Plattformen erzeugt.

Die Hauptaufgabe des Laders besteht darin, nach der Hersteller-ID der geladenen Grafikkarte zu suchen und sie mit einer Liste zulässiger Hersteller-IDs zu vergleichen, z. B. AMD, Intel oder NVIDIA.

Der Lader bricht selbsttätig ab, wenn der Wert falsch ist. Wenn die endgültige Nutzlast verschlüsselt wurde, reserviert der Lader entweder Speicher, um den entschlüsselten Inhalt zu speichern, bevor er ihn von dort aus startet, oder er verwendet einen Hollowing-Prozess, um sich in den echten „sihost.exe“-Prozess einzufügen.

Lesen Sie auch: „WhatsApp führt neue Sicherheitsfunktion zur Bekämpfung von Account-Übernahmen ein“

Da der Loader Embarcadero RAD Studio und den C++-Compiler „BCC64.exe“ verwendet, kann er die Erkennung durch VirusTotal umgehen und die Indikatoren der Sicherheitsanbieter umgehen. Der Loader leitet Benutzer auf falsche Domains, wo sie mit Hilfe von YouTube-Videos und SEO-optimierten gefälschten Download-Websites für geknackte Programme dazu verleitet werden, die Malware zu installieren.

Der in2al5d p3in4er loader ist Teil einer hochwirksamen Kampagne, die Social-Engineering-Methoden einsetzt, um die Stealer-Malware zu verbreiten. Die Ergebnisse deuten darauf hin, dass Bedrohungsakteure YouTube als Verbreitungskanal für Malware nutzen und die Betrachter auf gefälschte Websites leiten. AresLoader, ein anderer von Intel 471 entdeckter Virenlader, wurde vermutlich von einem Team mit Verbindungen zu russischen Hacktivisten entwickelt.

Der in2al5d p3in4er ist ein mysteriöser Loader, der die Malware Aurora Information Stealer ausliefert. Er nutzt fortschrittliche Anti-VM-Techniken, Social-Engineering-Methoden und einen ausgeklügelten Compiler, um die Erkennung zu umgehen.