TransferLoader: анализ мощного вредоносного загрузчика с бэкдором

TransferLoader: новый сложный загрузчик в арсенале злоумышленников

Недавно исследователи выявили новый опасный вредоносный загрузчик под названием TransferLoader, который работает как минимум с февраля 2025 года. Этот комплексный троян состоит из трех ключевых компонентов — загрузчика, бэкдора и специализированного загрузчика бэкдора. TransferLoader уже связывают с распространением программы-вымогателя Morpheus, нацеленного, в частности, на крупные организации, включая американские юридические фирмы.

Архитектура и ключевые возможности TransferLoader

Архитектура TransferLoader отражает современные тенденции в развитии вредоносного ПО, направленные на сокрытие активности и противодействие анализу. Основные характеристики и функционал загрузчика включают:

• Поддержку трех отдельных модулей: загрузчика, бэкдора и загрузчика для бэкдора, взаимодействующих между собой;
• Использование обфускации и множества методов антианализа, что затрудняет обратное проектирование и исследование кода;
• Загрузчик извлекает и выполняет полезную нагрузку, получаемую с сервера C2 (Command and Control);
• Модуль бэкдора способен выполнять произвольные команды на заражённой системе, расширяя контроль злоумышленников;
• В качестве резервного канала связи для бэкдора применена децентрализованная межпланетная файловая система (IPFS), что повышает устойчивость вредоноса к отключению основного сервера C2.

Методы коммуникации и защита от обнаружения

TransferLoader демонстрирует продвинутые методы взаимодействия с управляющей инфраструктурой, а также комплексное внедрение защитных механизмов:

• Связь с C2 может осуществляться как по протоколу HTTPS, так и через необработанные TCP-соединения, где бэкдор инициирует сессии и отправляет специально сформированные запросы с кастомным User-Agent и определёнными заголовками;
• Проверка наличия заданных подстрок в имени файла — один из способов выявления попыток анализа;
• Использование поля BeingDebugged в структуре PEB (Process Environment Block) позволяет выявлять отладочные сессии и прекращать работу в таких условиях;
• Динамическое разрешение Windows API с помощью алгоритма хэширования усложняет статический анализ, а блоки «нежелательного кода» препятствуют декомпиляции.

Механизмы расшифровки и выполнения

Ключевым элементом процесса загрузки и исполнения вредоносного кода является двоичная расшифровка полезной нагрузки:

• TransferLoader хранит зашифрованные строки с помощью побитовой операции исключающего ИЛИ (XOR), при этом каждому элементу соответствует уникальный ключ;
• Загрузчик извлекает зашифрованные полезные файлы из своего PE-секции (Portable Executable), расшифровывает их и запускает в памяти;
• Несмотря на незначительные функциональные различия между вариантами TransferLoader, основное назначение сохраняется — удалённое выполнение команд и управление конфигурациями модуля backdoor.

Загрузчик для бэкдора: организация управления

Загрузчик бэкдора в TransferLoader играет критическую роль — он организует выполнение команд, полученных с сервера C2. Особенности его работы включают:

• Необходимость исходных конфигурационных данных: при их отсутствии процесс останавливается;
• Создание именованных каналов (Named Pipes) для надежного обмена данными;
• Запись конфигурационных данных непосредственно в реестр Windows;
• Использование методов перехвата COM (Component Object Model) для обеспечения устойчивости хранения данных на заражённом хосте.

TransferLoader — впечатляющий пример современных, сложных угроз, которыми пользуются киберпреступники для проникновения и контроля высокозначимых корпоративных систем. Его многоуровневая конструкция и стойкая архитектура делают эту угрозу труднодоступной для обнаружения и нейтрализации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.