Een geavanceerde loader genaamd “in2al5d p3in4er” (uitgesproken als een ongeldige printer) is geïdentificeerd door cybersecurity-onderzoekers. Deze loader is ontworpen om de Aurora information stealer malware af te leveren en gebruikt geavanceerde anti-virtuele machine technieken om eindpunt werkstations aan te vallen.
Volgens een rapport van Morphisec is de loader gecompileerd met Embarcadero RAD Studio en kan hij detectie ontwijken door uitvoerbare bestanden voor meerdere platforms te genereren.
De belangrijkste taak van de loader is te zoeken naar de vendor-ID van de geladen grafische kaart en deze te vergelijken met een lijst van toegestane vendor-ID’s, zoals AMD, Intel of NVIDIA.
De loader beëindigt zichzelf als de waarde onjuist is. Wanneer de uiteindelijke payload is versleuteld, reserveert de loader ofwel geheugen om de ontsleutelde inhoud op te slaan en van daaruit te lanceren, ofwel gebruikt hij een uithollingsproces om zichzelf in het echte “sihost.exe”-proces te introduceren.
Lees ook: “WhatsApp introduceert nieuwe beveiligingsfunctie om accountovernames tegen te gaan”
Door het gebruik van Embarcadero RAD Studio en de “BCC64.exe” C++ compiler kan de loader detectie op VirusTotal omzeilen en indicatoren van beveiligingsbedrijven doorbreken. De loader leidt gebruikers naar valse domeinen waar ze worden misleid om de malware te installeren met behulp van YouTube-video’s en SEO-geoptimaliseerde valse websites om gekraakte programma’s te downloaden.
De in2al5d p3in4er loader maakt deel uit van een grootschalige campagne die gebruik maakt van social engineering-methoden om de stealer-malware te verspreiden. De bevindingen wijzen erop dat bedreigers YouTube gebruiken als distributiekanaal voor malware en kijkers naar valse websites leiden. AresLoader, een andere virusloader ontdekt door Intel 471, zou zijn gemaakt door een team dat banden heeft met Russische hacktivistische activiteiten.
De in2al5d p3in4er is een mysterieuze loader die de Aurora information stealer malware levert. Het maakt gebruik van geavanceerde anti-VM-technieken, social engineering-methoden en een geavanceerde compiler om detectie te ontwijken.
0 Comments