灵活性和可变性是新型恶意软件的主要武器。

Arctic Wolf 研究人员发现了一种用Go 编写的新恶意加载程序，称为 CherryLoader。这种威胁之前曾在野外 ( ITW ) 被发现，其目的是向受感染的主机传送额外的恶意软件以供后续利用。

在最近的两次入侵中发现的下载程序使用图标和名称伪装成合法的笔记应用程序 CherryTree，以欺骗潜在受害者安装它。

专家指出，CherryLoader 用于安装两个合法的 OpenSource 权限升级工具之一 – PrintSpoofer 或 JuicyPotatoNG – 然后运行批处理文件以在受害者的设备上建立永久存在。

CherryLoader 的另一个创新功能是其模块化，它允许攻击者更改漏洞利用而无需重新编译代码。

目前尚不清楚该加载程序是如何分布的，但对攻击链的研究表明，包含 CherryLoader（“cherrytree.exe”）和相关文件（“NuxtSharp.Data”、“Spof.Data”和“Juicy.Data”）位于 IP 地址“141.11.187[.]70”的 RAR 存档文件（“Packed.rar”）中。

与 RAR 存档一起下载一个可执行文件（“main.exe”），该文件用于提取并运行 Golang 二进制文件，只有当传递给它的第一个参数与硬编码的 MD5 密码哈希匹配时，它才会继续运行。

接下来，引导加载程序解密“NuxtSharp.Data”并将其内容写入磁盘上的文件“File.log”，该文件又被设计为使用“Process Ghosting ”解码并运行“Spof.Data”作为“12.log” “技术”，由研究人员于 2021 年 6 月首次描述。

该技术采用模块化设计，允许攻击者使用不同的漏洞利用而不是“Spof.Data”。在这种情况下，可以替换包含另一个漏洞的“Juicy.Data”，而无需重新编译“File.log”。

与“12.log”相关的进程与OpenSource权限提升工具PrintSpoofer相关，而“Juicy.Data”是另一个名为JuicyPotatoNG的权限提升工具。

成功的权限提升会导致执行批处理脚本文件“user.bat”，以在主机上建立持久存在并禁用 Microsoft Defender。

研究人员得出的结论是，CherryLoader 是一种新的多阶段加载程序，它使用各种加密和反分析技术，试图使用替代的、公开可用的权限升级漏洞，而无需重新编译任何代码。