Изследователи по киберсигурност откриха нов злонамерен софтуер за зареждане (loader), наречен SharkLoader, който незабележимо прониква в мрежите, скрит във фалшиви софтуерни инсталатори. Инструментът е засечен да доставя Cobalt Strike Beacon – добре позната рамка за следкомпрометиране – върху компрометираните машини.

Кампанията съчетава класическа измама, маскираща зловредния софтуер като доверени програми, с напреднало инженерство за избягване на засичането. Нападателите, проследявани под името StrikeShark, не разчитат на един-единствен начин за проникване. Те експлоатират известни уязвимости в софтуер като Microsoft Exchange, SharePoint, Fortinet устройства и Cisco IOS XE, като същевременно разпространяват дропъри, представящи се за инструменти като Cisco AnyConnect и Google Update. Този двоен подход им позволява да достигнат до жертвите си, без да създават нови експлойти.

Анализаторите от PolySwarm идентифицираха и документираха SharkLoader след преглед на проби, свързани с тази текуща кампания. Докладът им показва, че зловредният софтуер не е просто програма за изтегляне (downloader), а внимателно разработен лоудър, създаден да избягва откриването на всяка стъпка. Той се декриптира и изпълнява почти изцяло в оперативната памет, оставяйки малко следи за антивирусните инструменти.

Потвърдените жертви включват правителствени органи, дипломатически мисии и софтуерни компании в Индонезия, Тайван, Хонконг, Ливан, Сирия, Колумбия, Северна Македония, Непал и Сърбия. Това разпространение предполага широк обхват на кампанията, въпреки че концентрацията върху дипломатически и правителствени мрежи повдига въпроси относно шпионски мотиви.

Най-забележителната част е как се използва доверието срещу жертвите. Чрез пакетиране на SharkLoader в инсталатори, брандирани като Cisco AnyConnect или Google Update, нападателите експлоатират навика на потребителите да кликат върху познати подкани за актуализация без допълнително замисляне. Веднъж стартирани, тези инсталатори тихомълком вграждат лоудъра. Оттам SharkLoader злоупотребява с DLL side-loading, като най-често отвлича легитимна Windows програма (SystemSettings.exe) за зареждане на зловреден файл (SystemSettings.dll). Използва се и техниката Perfect DLL Hijacking за манипулиране на поведението на системния зареждач на Windows.

За да запази присъствие, софтуерът конфигурира планирани задачи на всеки пет минути и ключове в системния регистър. След това нападателите преминават към разузнаване, извличане на Active Directory, кражба на идентификационни данни, извличане на LSASS паметта и NTDS базата данни, движейки се странично в мрежата чрез Cobalt Strike и инструменти с отворен код. Изследователите отбелязват с ниска до средна степен на увереност, че някои от използваните инструменти изглежда са разработени от китайскоговорящи разработчици.