- Nieuwe aangepaste malware-lader geschreven in JPHP veroorzaakt grote schade
- De aangepaste payload is moeilijk te detecteren met behulp van cyberbeveiligingstools
- De malware-loader kan indien nodig aangepaste payloads implementeren
Trustwave SpiderLabs zegt van wel onlangs blootgelegd een nieuwe vorm van malware bekend als Pronsis Loader, die al problemen veroorzaakt vanwege zijn unieke ontwerp en tactieken.
Pronsis Loader maakt gebruik van JPHP, een minder bekende programmeertaal die zelden door cybercriminelen wordt gebruikt, en maakt ook gebruik van geavanceerde installatietechnieken, waardoor het voor cyberbeveiligingssystemen een grotere uitdaging wordt om deze te detecteren en te beperken.
JPHP, een variant van de populaire PHP-taal, wordt zelden gezien in de wereld van malware-ontwikkeling. Hoewel PHP vaak wordt gebruikt voor webapplicaties, is de integratie ervan in de ontwikkeling van malware op desktops ongebruikelijk, waardoor Pronsis Loader een voordeel heeft bij het vermijden van detectie.
JPHP – een zeldzame keuze in cybercriminaliteit
Pronsis Loader kan op handtekeningen gebaseerde detectiesystemen omzeilen, die doorgaans zijn ontworpen om meer algemene programmeertalen in malware te herkennen. JPHP geeft de malware een ‘stealth-laag’ waardoor de malware onder de radar van veel beveiligingstools kan blijven.
De malware maakt ook gebruik van verduistering en encryptie methoden om de aanwezigheid ervan tijdens de initiële infectiefase te verbergen. Bij uitvoering worden complexe methoden ingezet om te voorkomen dat traditionele methoden worden geactiveerd antivirusprogramma software en eindpuntbescherming systemen. De lader installeert zichzelf eerst geruisloos in het systeem en vermomt zijn activiteiten door legitieme processen of applicaties na te bootsen, waardoor het voor zowel geautomatiseerde beveiligingstools als menselijke analisten moeilijk te herkennen is.
Eenmaal geïnstalleerd kan Pronsis Loader extra malware downloaden en uitvoeren, waaronder ransomwarespyware of tools voor gegevensexfiltratie. Deze modulaire aanpak maakt de malware zeer flexibel, waardoor aanvallers de uiteindelijke lading kunnen aanpassen op basis van het systeem of de omgeving van het doelwit. Pronsis Loader maakt deel uit van een toenemende trend in de ontwikkeling van malware, waarbij aanvallers laders gebruiken als eerste stap bij aanvallen in meerdere fasen. Deze laders, ontworpen om andere malware in een systeem te introduceren, bieden aanvallers flexibiliteit.
Om deze evoluerende bedreigingen te bestrijden moeten beveiligingsteams geavanceerdere monitoring- en analysemethoden gebruiken, zoals op gedrag gebaseerde detectie, die malware kan identificeren aan de hand van zijn acties in plaats van alleen aan de hand van de codehandtekeningen. Bovendien kunnen voortdurende updates van bedreigingsinformatie helpen bij het identificeren van het gebruik van zeldzame talen en methoden zoals die van Pronsis Loader.
“Pronsis Loader markeert een opmerkelijke verschuiving in de manier waarop cybercriminelen malware inzetten en JPHP en stille installaties gebruiken om traditionele detectiemethoden te omzeilen. Het vermogen om risicovolle ladingen zoals Lumma Stealer en Latrodectus te leveren, maakt het bijzonder gevaarlijk”, aldus Shawn Kanady, Global Director van Trustwave SpiderLabs.
“Ons onderzoek brengt niet alleen de unieke mogelijkheden van de malware aan het licht, maar ook de infrastructuur die in toekomstige campagnes kan worden ingezet om beveiligingsteams de kans te geven hun verdediging te versterken”, voegde Kanady eraan toe.
