Обнаружен вредоносный JavaScript, использующий агрессивные методы

Обнаружен вредоносный JavaScript, использующий агрессивные методы

Обнаружен вредоносный JavaScript, использующий агрессивные методы

Исследователи безопасности обнаружили вредоносный сценарий, который использует агрессивную тактику, чтобы завладеть браузером и помешать пользователям удалить себя из системы. 

Несмотря на то, что угроза не представляет собой что-то новое, исследователи из Kahu Security говорят, что настолько агрессивной тактики они раньше не встречали. Более того, автор настолько обфусцировал скрипт, что это создает серьезную проблему при его анализе специалистами.

Вредоносный скрипт содержит многочисленные переменные и функции, но в нем отсутствуют пробелы, переводы строки и табуляция, что очень затрудняет его анализ. Кроме того, JavaScript содержит закодированные символы поиска регулярных выражений поиска/замены, необычные преобразования базы, а также условные операторы в попытке скрыть его умысел.

Для того, чтобы закрепиться на зараженной машине, скрипт делает копию wscript.exe, а затем переименовывает его, присваивая случайное имя и сохраняет его в новую папку в AppData\Roaming. Вредонос также создает свою копию и использует копию wscript.exe для запуска сценария.

Эксперты также отмечают, что скрипт использует определенные ключи реестра, чтобы скрыть папку, а затем создает ярлык в папке автозагрузки. Таким образом, скрипт будет запускаться при каждом старте системы.

Кроме того, скрипт проверяет, может ли он получить доступ к Microsoft, Google и Bing, а затем отправляет данные о зараженном компьютере на urchintelemetry[.]com и загружает зашифрованный файл из 95.153.31[.]22. Этот файл представляет собой скрипт, предназначенный для изменения начальной страницы в Internet Explorer, Firefox и Chrome на login.hhtxnet[.]com.

При запуске браузера, пользователь перенаправляется на portalne[.]ws. Исследователи также говорят о том, что командный центр вредоноса выглядит нефункционирующим, однако, если отправлен определенный правильный POST, командный центр ответит.

Зловред также использует инструментарий управления Windows, чтобы защитить себя от различных антивирусных программ. Таким образом, если скрипт видит процессы определенных программ, он завершает их необычным способом – отображая сообщение, которое призвано заставить пользователей думать, что программа не работает.

Если пользователь завершает процесс WScript, связанный с вредоносом, компьютер сразу же выключается. Для того, чтобы все-таки удалить зловред, нужно перезагрузить компьютер в безопасном режиме, либо войти в другую учетную запись и удалить ссылку запуска в папке roaming. Исследователям безопасности рекомендуется переименовывать свои процессы во что-нибудь безобидное, если они хотят заняться анализом этого вредоноса.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сеть дискаунтеров Доброцен парализована атакой

Сеть магазинов-дискаунтеров «Доброцен» столкнулась с масштабным сбоем из-за кибератаки. Атака парализовала работу всех внутренних систем: не запускаются рабочие места сотрудников, не работает система приёмки товара, недоступен официальный сайт. Работа магазинов нарушена в нескольких регионах страны.

Как сообщает источник РИА «Европейско-Азиатские Новости» (ЕАН), проблемы начались ещё 30 июня. Сеть «Доброцен» представлена в Екатеринбурге, Москве, Санкт-Петербурге, Самаре, Крыму и на новых территориях.

В настоящий момент компьютеры сотрудников не включаются, система логистики частично недоступна, сайт компании также остаётся вне доступа.

По оценке источников издания, злоумышленники могли воспользоваться уязвимостью в одной из ИТ-систем. Предположительно, атаку могла организовать не самая квалифицированная группировка, возможно — хактивисты. Мотивом могло послужить присутствие «Доброцена» в Крыму и на новых территориях.

Среди других возможных причин инцидента называют недобросовестную конкуренцию. Согласно статистике за второй квартал 2025 года, число атак с подобным мотивом выросло на 25% в годовом выражении. Хотя розничная торговля не входит в число отраслей, наиболее подверженных таким атакам, источники ЕАН отмечают, что в сегменте дискаунтеров конкуренция особенно высока.

«Для „Доброцена“ заказы через сайт никогда не были основным каналом продаж — компания только начала развивать это направление. Большинство покупателей вряд ли заметят недоступность сайта. Кассы работают, значит, магазины открыты. Возможны перебои с поставками отдельных товарных групп из-за сбоев в распределительных центрах, но это может не затронуть все регионы», — отметил источник ЕАН.

Это уже не первый инцидент за последнюю неделю. 28 июля атака затронула «Аэрофлот», а также нарушилась работа онлайн-сервисов аптечных сетей «Столички» и «Неофарм». 29 июля в отдельных регионах были закрыты торговые точки из-за неработоспособности систем. Также произошёл сбой на сайте и в приложении «Почты России», но он был кратковременным.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru