Каждый восьмой компьютер заражается через USB устройство

Такой вывод сделали эксперты AVAST Software в результате проведенного исследования, на предмет обнаружения червя autorun.inf. Только за последнюю неделю октября было зарегистрировано 700000 случаев заражения через USB устройство. Получается, что атаке подвергся каждый восьмой или 13% пользователей, зарегистрированных в сети CommunityIQ.

Как известно, червь “INF:AutoRun-gen2 [Wrm]” (прим. название вредоноса в avast!) проникает в систему при подключении к компьютеру зараженного USB накопителя, коим может оказаться любое устройство хранения данных, как то: флеш - память, PSP, цифровая камера, сотовые телефоны, mp3 плееры и другие устройства. Попав в систему, вирус провоцирует появление широкого спектра вредоносов на компьютере жертвы. Помимо этого, этот червь самостоятельно копируется в ядро и может реплицироваться при каждом запуске операционной системы.  

По мнению аналитика вирусной лаборатории AVAST Software Яна Сирмера, функция автозапуска очень полезная, но при этом через нее распространяется более трети известных вредоносов.  Он считает, что совокупность таких факторов как естественное желание пользователей поделиться информацией со своими друзьями и достаточно большая емкость существующих USB накопителей являются привлекательным условием для злоумышленников. Кроме этого, сотрудники компаний в работе часто используют личные флешки, что усложняет процесс обнаружения, поскольку пользователи, как правило, не проверяют устройство на наличие вирусов. В лучшем случае будет произведена быстрая проверка, которая может не обнаружить вредонос.

Эксперты считают, что процент распространения вирусов через USB накопители не уменьшится с введением нового стандарта USB 3, поскольку вирусописатели разработают новый адаптированный код и методы сокрытия своей работы. Г-н Сирмер так же добавил, что злоумышленники всегда впереди на один шаг. Однажды, в одном коде он обнаружил фразу ‘y0u c4nt st0p us’ (вы не сможете нас остановить).

С помощью avast! System Shield в момент подключения USB устройства было отражено 84% атак AutoRun-gen2, оставшиеся 16% обезврежено при проверке жесткого диска.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фейковый PoC устанавливает на машину ИБ-экспертов Cobalt Strike Beacon

На GitHub обнаружены два вредоносных файла, выдаваемых за PoC-эксплойты. Авторы находки из Cyble полагают, что это задел под очередную киберкампанию, мишенью которой являются участники ИБ-сообщества.

На хакерских форумах тоже обсуждают эти PoC к уязвимостям CVE-2022-26809 и CVE-2022-24500, которые Microsoft пропатчила в прошлом месяце. Как оказалось, оба репозитория GitHub принадлежат одному и тому же разработчику.

Проведенный в Cyble анализ показал, что расшаренные PoC на самом деле представляют собой вредоносный Net-банарник, упакованный с помощью ConfuserEX — обфускатора с открытым исходным кодом для приложений .Net. Зловред не содержит заявленного кода, но поддерживает эту легенду, выводя с помощью функции Sleep() поддельные сообщения, говорящие о попытке выполнения эксплойта.

Усыпив бдительность жертвы, вредонос запускает скрытую PowerShell-команду для доставки с удаленного сервера основной полезной нагрузки — маячка Cobalt Strike.

 

Этот бэкдор можно впоследствии использовать для загрузки дополнительных файлов в рамках атаки и для ее развития путем горизонтального перемещения по сети.

Похожая вредоносная кампания была зафиксирована полтора года назад. Злоумышленники вступали в контакт с баг-хантерами, пытаясь с помощью замаскированного IE-эксплойта 0-day и бэкдора добраться до информации об актуальных уязвимостях.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru