Zscaler ThreatLabz发现了一个名为TransferLoader的新型危险恶意软件加载器,至少自2025年2月以来在野外积极使用。这种先进的模块化威胁不仅仅是另一个滴管 – 它是一个高度混淆,反分析的恶意软件平台,提供从隐身后门到Morpheus勒索软件的有效载荷,观察到针对美国律师事务所的攻击。

“TransferLoader是一个新的恶意软件加载器……具有多个组件,包括下载器,后门和后门的加载器,”ThreatLabz写道。

下载器使用自定义标头通过HTTPS检索恶意有效载荷,并使用bitwise-XOR循环解密它们。它可以显示诱饵 PDF 或静默重新启动资源管理器进程以隐藏其执行。

“下载器的主要目标是从C2服务器下载额外的有效载荷并执行诱饵文件,”分析解释说。

专门用于在内存中执行后门,后门加载器组件读取配置数据,确保执行上下文(例如,在 explorer.exe 或 wordpad.exe 内部),并设置 COM 劫持。

它还使用命名的管道进行配置命令,并可以接收更新C2服务器,设置睡眠计时器或在内存中执行任意PE文件的指令。

操作的主要操作,后门执行任务,包括:

执行远程 shell 命令文件上传/下载系统侦察和数据收集自我清除和清理

当主C2不可用时,它会联系星际文件系统(IPFS)以检索新的C2位置。

“后门利用分散的InterPlanetary文件系统(IPFS)点对点平台作为回退通道,用于更新命令和控制(C2)服务器。

它支持TCP和HTTP,使用自定义流密码加密通信 – 完成错误块交换和嵌套加密层。

TransferLoader旨在逃避静态和动态分析:

垃圾代码破坏拆解解密例程依赖于自定义的Base32方案和AES变体命令行参数和进程名称在执行前经过验证Environment通过在过程环境块(PEB)中调试调试检测

TransferLoader及其有效载荷包含反分析方法……包括垃圾代码块,动态API分辨率和运行时字符串解密。

ransomware虽然报告中没有对Morpheus勒索软件进行深入分析,但通过TransferLoader的交付意味着装载机正在演变成一个多用途的交付平台。

“考虑到TransferLoader在部署包括勒索软件在内的其他有效载荷方面的一贯使用ransomware,我们预计威胁行为者将在未来的攻击中继续依赖它。