Эксперты Zscaler ThreatLabz выявили новый вредоносный загрузчик TransferLoader, который активно используется злоумышленниками с февраля 2025 года. Этот многофункциональный инструмент включает в себя несколько компонентов и уже применялся для доставки Morpheus ransomware в атаке на американскую юридическую фирму.
Описание
Основные характеристики угрозы
TransferLoader представляет собой сложный модульный загрузчик, состоящий из нескольких компонентов. В его состав входят загрузчик дополнительных вредоносных модулей, бэкдор и специализированный загрузчик для него. Все компоненты используют схожие методы обфускации и противодействия анализу, что указывает на работу одной группы злоумышленников.
Технические особенности
Загрузчик активно противодействует исследованию и анализу. Он проверяет свое имя файла на наличие определенных подстрок, использует динамическое разрешение API через хеширование и внедряет специальный "мусорный" код, который затрудняет процесс декомпиляции. Кроме того, TransferLoader применяет сложные методы обфускации, включая манипуляции с регистрами и стеком.
Все строки в коде зашифрованы с использованием операции XOR с уникальными ключами. Для передачи данных загрузчик использует защищенное HTTPS-соединение. При недоступности основного C2-сервера он автоматически переключается на децентрализованную сеть IPFS, что делает его более устойчивым к блокировкам и повышает живучесть вредоносной инфраструктуры.
Функциональные возможности
Основной загрузчик выполняет расшифровку и запуск встроенных модулей, используя модифицированный алгоритм AES и нестандартную кодировку Base32. Модуль загрузки дополнительных компонентов скачивает и выполняет вредоносные payload, одновременно отвлекая внимание жертвы с помощью поддельных PDF-документов.
Бэкдорная составляющая обеспечивает полный контроль над зараженной системой. Она позволяет выполнять произвольные команды, похищать файлы и собирать системную информацию. Конфигурационные данные хранятся в системном реестре, а для скрытного управления используется механизм именованных каналов (pipes).
Связь с другими угрозами
Специалисты ThreatLabz зафиксировали случаи использования TransferLoader для распространения Morpheus ransomware . Однако точная взаимосвязь между этими угрозами требует дополнительного изучения и анализа.
Индикаторы компрометации
URLs
- https://baza.com/loader.bin
- https://ipfs.io/ipns/k51qzi5uqu5djqy6wp9nng1igaatx8nxwpye9iz18ce6b8ycihw8nt04khemao
- https://mainstomp.cloud/MDcMkjAxsLKsT
- https://sharemoc.space/XdYUmFd2xX
- https://temptransfer.live/SkwkUTIoFTrXYRMd
SHA256
- 11d0b292ed6315c3bf47f5df4c7804edccbd0f6018777e530429cc7709ba6207
- b55ba0f869f6408674ee9c5229f261e06ad1572c52eaa23f5a10389616d62efe
- b8f00bd6cb8f004641ebc562e570685787f1851ecb53cd918bc6d08a1caae750
