Los ataques de malware continúan evolucionando, presentando desafíos cada vez mayores tanto para usuarios individuales como para organizaciones. Un ejemplo reciente y preocupante es el CherryLoader, un malware que ha capturado la atención de expertos en seguridad por su capacidad para imitar software legítimo.
¿Qué es y cómo funciona CherryLoader?
Un equipo de especialistas en ciberseguridad ha identificado un nuevo tipo de malware conocido como CherryLoader, que utiliza el lenguaje de programación Go para infectar sistemas. Este malware se disfraza como una aplicación legítima de toma de notas, CherryTree, con el objetivo de engañar a los usuarios y facilitar la instalación de cargas maliciosas adicionales.
Descubierto por Arctic Wolf Labs en el contexto de dos intrusiones recientes, CherryLoader ha demostrado ser una herramienta de ataque sofisticada. Los investigadores revelaron que el malware puede entregar herramientas para escalar privilegios, como PrintSpoofer o JuicyPotatoNG. Estas herramientas se utilizan posteriormente para ejecutar un archivo por lotes que establece la persistencia en los dispositivos infectados.
Conoce más sobre: Análisis de Malware con Wazuh
Una característica distintiva de CherryLoader es su modularidad, que permite a los atacantes intercambiar diferentes exploits sin la necesidad de recompilar todo el código. Este enfoque modular brinda a los atacantes mayor flexibilidad y dificulta la detección del malware.
La distribución específica del CherryLoader aún no está clara, pero las investigaciones indican que los archivos maliciosos, incluyendo el propio CherryLoader ("cherrytree.exe") y varios archivos asociados, se almacenan dentro de un archivo RAR ("Packed.rar") ubicado en una dirección IP específica.
El malware también incluye un ejecutable ("main.exe") que sirve para descomprimir e iniciar el binario de Golang. Este proceso solo se inicia si se cumple una condición específica relacionada con un hash de contraseña MD5.
Una vez activo, CherryLoader utiliza técnicas avanzadas como la escritura de archivos cifrados en el disco y la ejecución de código mediante técnicas sin archivos. Esta estrategia incluye el uso de un proceso fantasma, una técnica que surgió en 2021 y que permite ejecutar código de manera oculta.
Los investigadores también descubrieron que CherryLoader puede activar herramientas de escalada de privilegios de código abierto, como PrintSpoofer, así como otras herramientas como JuicyPotatoNG. Tras una escalada de privilegios exitosa, el malware ejecuta un script de archivo por lotes para asegurar su persistencia, desactivar Microsoft Defender y modificar las reglas del firewall, facilitando así las conexiones remotas.
En conclusión, CherryLoader es un malware de múltiples etapas que emplea diversas técnicas de cifrado y estrategias anti-análisis para instalar exploits de escalada de privilegios. Su diseño modular y su capacidad para utilizar exploits públicos sin recompilar código lo hacen especialmente peligroso y difícil de detectar.
Te podrá interesar: ¿Qué es un Ataque de Exploit?
Conclusión
CherryLoader representa una nueva y sofisticada amenaza en el ámbito de la ciberseguridad. Su habilidad para disfrazarse como software legítimo lo convierte en un desafío particularmente peligroso. La prevención eficaz requiere una combinación de educación, medidas de seguridad robustas y una vigilancia constante. Tanto los usuarios individuales como las organizaciones deben estar alerta y preparados para enfrentar este tipo de amenazas cibernéticas emergentes.