CherryLoader：伪装成 CherryTree 应用程序的欺骗性下载器亮相

　　Arctic Wolf 的研究人员发现了一种新的恶意下载器，该下载器是用 Go 语言制作的，被称为 CherryLoader。这种威胁以前在野外观察到，旨在促进将其他恶意软件传递到受感染的主机上，以便进一步利用。

　　在最近的两次违规行为中发现，该下载器伪装成合法的 CherryTree 笔记应用程序，欺骗潜在的受害者安装它。

　　专家们注意到，CherryLoader 部署了两种合法的开源工具之一，用于权限提升——PrintSpoofer 或 JuicyPotatoNG——然后启动一个批处理文件，在受害者的设备上建立持久的存在。

　　CherryLoader 的一个显着创新是它的模块化，允许攻击者在不需要重新编译代码的情况下切换漏洞。

　　下载器的分发方法尚不清楚，但攻击链分析显示，CherryLoader(“cherrytree.exe”)和相关文件(“NuxtSharp.Data”，“Spof.Data”和“Juicy.Data”)包含在RAR存档(“Packed.rar”)中，托管在IP地址“141.11.187[.]70".

　　随 RAR 存档一起，下载了一个可执行文件(“main.exe”)，用于解压缩和启动 Golang 二进制文件，仅当传递的第一个参数与硬编码的 MD5 密码哈希匹配时，该文件才会继续。

　　然后，下载器解密“NuxtSharp.Data”并将其内容写入磁盘上的“File.log”文件，该文件又旨在使用“进程重影”技术将“Spof.Data”解码并执行为“12.log”，研究人员于 2021 年 6 月首次描述。

　　该技术的模块化设计允许攻击者使用替代漏洞来代替“Spof.Data”。在这种情况下，包含另一个漏洞的“Juicy.Data”可以在不重新编译“File.log”的情况下被替换。

　　与“12.log”相关的进程链接到开源权限提升工具PrintSpoofer，而“Juicy.Data”代表另一个权限提升工具，名为JuicyPotatoNG。

　　成功提升权限后，将执行“user.bat”脚本批处理文件，以在主机上建立永久状态并禁用 Microsoft Defender。

　　研究人员得出结论，CherryLoader 是一种新的多阶段下载器，它利用各种加密和反分析方法，试图采用替代的、公开可用的权限升级漏洞，而无需任何代码重新编译。