Eine neue Malware namens CherryLoader wurde von Sicherheitsforschern entdeckt. Diese in Go geschriebene Malware wird dazu verwendet, zusätzliche Payloads auf kompromittierten Hosts zu installieren und für weitere Angriffe zu nutzen. CherryLoader tarnt sich als legitime CherryTree-Notizanwendungen, um potenzielle Opfer dazu zu bringen, sie zu installieren. Die Malware wurde verwendet, um entweder das Privilege-Escalation-Tool PrintSpoofer oder JuicyPotatoNG auf den betroffenen Geräten auszuführen und so eine dauerhafte Infektion zu etablieren. Interessanterweise verfügt CherryLoader auch über modularisierte Funktionen, die es dem Angreifer ermöglichen, Exploits auszutauschen, ohne den Code neu zu kompilieren.
Es ist derzeit nicht bekannt, wie die Malware verbreitet wird, aber die untersuchten Angriffsketten zeigen, dass CherryLoader und die zugehörigen Dateien in einem RAR-Archiv mit dem Namen „Packed.rar“ enthalten sind, das auf der IP-Adresse 141.11.187[.]70 gehostet ist. Neben dem RAR-Archiv wird auch eine ausführbare Datei namens „main.exe“ heruntergeladen, die verwendet wird, um die Golang-Binärdatei zu entpacken und auszuführen. Die Ausführung erfolgt nur dann, wenn das erste Argument, das übergeben wird, mit einem fest codierten MD5-Passwort-Hash übereinstimmt.
Nach dem Entpacken entschlüsselt CherryLoader „NuxtSharp.Data“ und schreibt den Inhalt in eine Datei namens „File.log“ auf der Festplatte. Diese Datei wiederum decodiert und führt „Spof.Data“ als „12.log“ aus. Dabei wird eine Technik namens Prozess-Ghosting verwendet, die erstmals im Juni 2021 bekannt wurde. Diese modular aufgebaute Technik ermöglicht es dem Angreifer, anstelle von „Spof.Data“ einen anderen Exploit-Code, z.B. „Juicy.Data“, einzusetzen, ohne den Code neu zu kompilieren.
Der mit „12.log“ verbundene Prozess ist mit einem Open-Source-Privilege-Escalation-Tool namens PrintSpoofer verknüpft, während „Juicy.Data“ ein weiteres Privilege-Escalation-Tool namens JuicyPotatoNG ist. Nach einer erfolgreichen Privilege-Escalation wird ein Batch-Skript namens „user.bat“ ausgeführt, um die Infektion auf dem Host zu erhalten und Microsoft Defender zu deaktivieren.
Die Forscher kommen zu dem Schluss, dass CherryLoader ein neu identifizierter Malware-Downloader ist, der verschiedene Verschlüsselungsmethoden und andere Anti-Analyse-Techniken verwendet, um alternative Privilege-Escalation-Exploits auszuführen, ohne den Code neu zu kompilieren.