Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла

Татьяна Никитина 08 Июня 2022 - 09:01
...
Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла

Исследователи из HP зафиксировали спам-рассылки, нацеленные на засев троянского загрузчика, которому было присвоено кодовое имя SVCReady. Зловред примечателен тем, что его цепочка заражения включает шелл-код, спрятанный в свойствах вложенного файла.

Текущую вредоносную кампанию эксперты наблюдают с конца апреля. По их словам, новоявленный троян находится на раннем этапе разработки и в течение прошлого месяца обновлялся несколько раз.

Распространяемые в спаме документы Microsoft Office (преимущественно Word) содержат вредоносный VBA-макрос. Тестирование показало, что при активации он ведет себя необычно — вместо того, чтобы с помощью PowerShell или MSHTA загрузить с удаленного сервера следующий пейлоад, он запускает шелл-код, вставленный в свойства файла в виде NOP-инструкций.

 

С таким нововведением HP уже сталкивалась, но только раз — в ходе апрельской спам-кампании, нацеленной на распространение банкера Ursnif, он же Gozi, Rovnix и Papras.

Загрузка шелл-кода, выводящего на старт SVCReady, производится с учетом архитектуры атакуемой системы — 32 или 64 бит.

 

При выполнении этот фрагмент кода загружает DLL в папку %TEMP%, затем копирует туда же rundll32.exe из системного каталога Windows. Копия Rundll32 переименовывается и запускается на исполнение с DLL и именем функции в качестве аргументов.

Стартовавший с помощью Rundll32 вредонос работает как даунлоудер, способный обеспечить запуск загружаемых файлов. На настоящий момент он также умеет совершать следующие действия:

  • собирать информацию о зараженной системе;
  • выходить на связь с центром управления (в ожидании команд сообщает свой статус каждые пять минут);
  • фиксировать наличие виртуального окружения;
  • уходить на полчаса в состояние сна;
  • выполнять шелл-команды;
  • делать скриншоты;
  • пересчитывать подключенные USB-устройства.

Чтобы обеспечить себе постоянное присутствие в системе, SVCReady создает запланированное задание. Из доставляемой с его помощью полезной нагрузки в HP зафиксировали только RedLine (26 апреля — по всей видимости, проба пера).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ЦБ пояснил: переводы себе не тронут, проверять будут свыше 200 тыс. ₽
Екатерина Быстрова 12 Ноября 2025 - 21:15
Соответствие законодательству РФ Домашние пользователиГосударство Защита от мошенничестваБезопасность платежей
ЦБ пояснил: переводы себе не тронут, проверять будут свыше 200 тыс. ₽

Банк России уточнил, что проверки на признаки мошенничества затронут не переводы самому себе через Систему быстрых платежей (СБП), а следующие за ними операции — когда клиент переводит деньги другому человеку, которому не отправлял средств минимум полгода.

Разъяснение появилось в официальном сообществе ЦБ во «ВКонтакте» после того, как слова главы департамента информационной безопасности Вадима Уварова вызвали бурное обсуждение.

Ранее он заявил, что крупные переводы самому себе по СБП могут стать признаком мошеннических операций.

В пресс-службе регулятора уточнили: речь идёт только о переводах свыше 200 тысяч рублей, и проверяться будут именно последующие переводы условно «незнакомым» людям, если им не отправлялись деньги в течение полугода.

«Таким образом, проверяться будет не перевод самому себе, а именно последующий перевод другому человеку», — подчеркнули в ЦБ.

По словам Уварова, такие схемы активно используют мошенники: они убеждают человека сначала перевести деньги себе по СБП, а потом направить их на «безопасный счёт».

ЦБ готовит новый приказ с расширенным перечнем признаков подозрительных операций — документ планируют опубликовать в ближайшее время. Предыдущий перечень был обновлён летом 2024 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
ИТ-рынок уходит в узкую экспертизу: в цене дата-инженеры и MLOps
Новость
ИТ-рынок уходит в узкую экспертизу: в цене дата-инженеры и M...
Яндекс, Сбер, Минпросвет научат преподов видеть руку ИИ в работах студентов
Новость
Яндекс, Сбер, Минпросвет научат преподов видеть руку ИИ в ра...
Охота за скинами: фишинговые сайты крадут инвентарь игроков Steam
Новость
Охота за скинами: фишинговые сайты крадут инвентарь игроков...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.