PEAKLIGHT: la torta de capas de ofuscación paraliza la protección de las redes corporativas

Los investigadores de seguridad de TRAC Labs han descubierto un nuevo cargador malicioso llamado PEAKLIGHT basado en PowerShell, diseñado para distribuir ladrones de información a través del modelo de «malware como servicio».

Según los expertos, el vector inicial de infección son archivos LNK (accesos directos de Windows) que se conectan a un CDN para descargar un dropper en JavaScript. Este dropper ejecuta un script de PowerShell que, a su vez, descarga el código malicioso. Entre los programas maliciosos detectados se encuentran LummaC2, HijackLoader y CryptBot.

PEAKLIGHT también es conocido como Emmenhtal Loader. Los archivos LNK maliciosos utilizan PowerShell junto con «mshta.exe» para cargar y ejecutar cargas útiles. Por ejemplo, el archivo «Instruction_1928_W9COI.pdf.lnk» contiene argumentos que inician «mshta.exe» apuntando a un archivo JSON remoto. Este archivo, a su vez, descarga un ejecutable «dxdiag.exe» que contiene una carga útil cifrada en JavaScript.

Un elemento clave de PEAKLIGHT es su ofuscación en múltiples capas. El código incluye matrices numéricas que se convierten en cadenas mediante la función String.fromCharCode, además de cifrado AES. La carga cifrada se descifra y se ejecuta en memoria utilizando el método CreateDecryptor de la biblioteca .NET. Los datos ofuscados se transforman en comandos de PowerShell, ejecutados a través de codificación base64.

El cargador AutoIt integrado en PEAKLIGHT representa otro nivel de camuflaje. Utilizando funciones DLL como VirtualProtect, el script decodifica la carga útil cifrada y la ejecuta directamente desde la memoria. Este método permite evitar la detección por herramientas antivirus tradicionales.

La carga útil final de PEAKLIGHT, conocida como DarkGate, incluye herramientas para inyección en procesos, camuflaje y ejecución de funciones espía. Por ejemplo, puede utilizar el método Process Hollowing para insertar código malicioso de forma oculta en procesos legítimos de Windows.

El análisis reveló el uso de una serie de mecanismos de protección, incluyendo la verificación del entorno para virtualización y una cantidad suficiente de memoria libre. La descarga de cargas útiles se realiza desde dominios que imitan servicios legítimos, como «docu-sign[.]info».

Para garantizar una protección confiable, TRAC Labs recomienda a los especialistas en seguridad monitorear las siguientes actividades:

• Acceso a URL sospechosas (por ejemplo, docu-sign[.]info y timeless-tales[.]shop);
• Ejecución de scripts de PowerShell con codificación base64;
• Actividad de archivos en la carpeta TEMP;
• Ejecución de scripts de AutoIt.

El uso de métodos avanzados de ofuscación y carga en múltiples niveles convierte a PEAKLIGHT en una de las amenazas más peligrosas para los sistemas modernos. TRAC Labs continuará monitoreando esta campaña para detectar nuevas TTP a tiempo y proporcionar herramientas de protección necesarias.