Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

TransferLoader: анализ мощного вредоносного загрузчика с бэкдором

4
3 мин
Недавно исследователи выявили новый опасный вредоносный загрузчик под названием TransferLoader, который работает как минимум с февраля 2025 года. Этот комплексный троян состоит из трех ключевых компонентов — загрузчика, бэкдора и специализированного загрузчика бэкдора. TransferLoader уже связывают с распространением программы-вымогателя Morpheus, нацеленного, в частности, на крупные организации, включая американские юридические фирмы. Архитектура TransferLoader отражает современные тенденции в развитии вредоносного ПО, направленные на сокрытие активности и противодействие анализу. Основные характеристики и функционал загрузчика включают: TransferLoader демонстрирует продвинутые методы взаимодействия с управляющей инфраструктурой, а также комплексное внедрение защитных механизмов: Ключевым элементом процесса загрузки и исполнения вредоносного кода является двоичная расшифровка полезной нагрузки: Загрузчик бэкдора в TransferLoader играет критическую роль — он организует выполнение команд
Оглавление
Источник: www.zscaler.com
Источник: www.zscaler.com

TransferLoader: новый сложный загрузчик в арсенале злоумышленников

Недавно исследователи выявили новый опасный вредоносный загрузчик под названием TransferLoader, который работает как минимум с февраля 2025 года. Этот комплексный троян состоит из трех ключевых компонентов — загрузчика, бэкдора и специализированного загрузчика бэкдора. TransferLoader уже связывают с распространением программы-вымогателя Morpheus, нацеленного, в частности, на крупные организации, включая американские юридические фирмы.

Архитектура и ключевые возможности TransferLoader

Архитектура TransferLoader отражает современные тенденции в развитии вредоносного ПО, направленные на сокрытие активности и противодействие анализу. Основные характеристики и функционал загрузчика включают:

  • Поддержку трех отдельных модулей: загрузчика, бэкдора и загрузчика для бэкдора, взаимодействующих между собой;
  • Использование обфускации и множества методов антианализа, что затрудняет обратное проектирование и исследование кода;
  • Загрузчик извлекает и выполняет полезную нагрузку, получаемую с сервера C2 (Command and Control);
  • Модуль бэкдора способен выполнять произвольные команды на заражённой системе, расширяя контроль злоумышленников;
  • В качестве резервного канала связи для бэкдора применена децентрализованная межпланетная файловая система (IPFS), что повышает устойчивость вредоноса к отключению основного сервера C2.

Методы коммуникации и защита от обнаружения

TransferLoader демонстрирует продвинутые методы взаимодействия с управляющей инфраструктурой, а также комплексное внедрение защитных механизмов:

  • Связь с C2 может осуществляться как по протоколу HTTPS, так и через необработанные TCP-соединения, где бэкдор инициирует сессии и отправляет специально сформированные запросы с кастомным User-Agent и определёнными заголовками;
  • Проверка наличия заданных подстрок в имени файла — один из способов выявления попыток анализа;
  • Использование поля BeingDebugged в структуре PEB (Process Environment Block) позволяет выявлять отладочные сессии и прекращать работу в таких условиях;
  • Динамическое разрешение Windows API с помощью алгоритма хэширования усложняет статический анализ, а блоки «нежелательного кода» препятствуют декомпиляции.

Механизмы расшифровки и выполнения

Ключевым элементом процесса загрузки и исполнения вредоносного кода является двоичная расшифровка полезной нагрузки:

  • TransferLoader хранит зашифрованные строки с помощью побитовой операции исключающего ИЛИ (XOR), при этом каждому элементу соответствует уникальный ключ;
  • Загрузчик извлекает зашифрованные полезные файлы из своего PE-секции (Portable Executable), расшифровывает их и запускает в памяти;
  • Несмотря на незначительные функциональные различия между вариантами TransferLoader, основное назначение сохраняется — удалённое выполнение команд и управление конфигурациями модуля backdoor.

Загрузчик для бэкдора: организация управления

Загрузчик бэкдора в TransferLoader играет критическую роль — он организует выполнение команд, полученных с сервера C2. Особенности его работы включают:

  • Необходимость исходных конфигурационных данных: при их отсутствии процесс останавливается;
  • Создание именованных каналов (Named Pipes) для надежного обмена данными;
  • Запись конфигурационных данных непосредственно в реестр Windows;
  • Использование методов перехвата COM (Component Object Model) для обеспечения устойчивости хранения данных на заражённом хосте.

TransferLoader — впечатляющий пример современных, сложных угроз, которыми пользуются киберпреступники для проникновения и контроля высокозначимых корпоративных систем. Его многоуровневая конструкция и стойкая архитектура делают эту угрозу труднодоступной для обнаружения и нейтрализации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "TransferLoader: анализ мощного вредоносного загрузчика с бэкдором".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Финансовые мошенничества
343 тыс интересуются