Обнаружен вредоносный JavaScript, использующий агрессивные методы

Обнаружен вредоносный JavaScript, использующий агрессивные методы

Обнаружен вредоносный JavaScript, использующий агрессивные методы

Исследователи безопасности обнаружили вредоносный сценарий, который использует агрессивную тактику, чтобы завладеть браузером и помешать пользователям удалить себя из системы. 

Несмотря на то, что угроза не представляет собой что-то новое, исследователи из Kahu Security говорят, что настолько агрессивной тактики они раньше не встречали. Более того, автор настолько обфусцировал скрипт, что это создает серьезную проблему при его анализе специалистами.

Вредоносный скрипт содержит многочисленные переменные и функции, но в нем отсутствуют пробелы, переводы строки и табуляция, что очень затрудняет его анализ. Кроме того, JavaScript содержит закодированные символы поиска регулярных выражений поиска/замены, необычные преобразования базы, а также условные операторы в попытке скрыть его умысел.

Для того, чтобы закрепиться на зараженной машине, скрипт делает копию wscript.exe, а затем переименовывает его, присваивая случайное имя и сохраняет его в новую папку в AppData\Roaming. Вредонос также создает свою копию и использует копию wscript.exe для запуска сценария.

Эксперты также отмечают, что скрипт использует определенные ключи реестра, чтобы скрыть папку, а затем создает ярлык в папке автозагрузки. Таким образом, скрипт будет запускаться при каждом старте системы.

Кроме того, скрипт проверяет, может ли он получить доступ к Microsoft, Google и Bing, а затем отправляет данные о зараженном компьютере на urchintelemetry[.]com и загружает зашифрованный файл из 95.153.31[.]22. Этот файл представляет собой скрипт, предназначенный для изменения начальной страницы в Internet Explorer, Firefox и Chrome на login.hhtxnet[.]com.

При запуске браузера, пользователь перенаправляется на portalne[.]ws. Исследователи также говорят о том, что командный центр вредоноса выглядит нефункционирующим, однако, если отправлен определенный правильный POST, командный центр ответит.

Зловред также использует инструментарий управления Windows, чтобы защитить себя от различных антивирусных программ. Таким образом, если скрипт видит процессы определенных программ, он завершает их необычным способом – отображая сообщение, которое призвано заставить пользователей думать, что программа не работает.

Если пользователь завершает процесс WScript, связанный с вредоносом, компьютер сразу же выключается. Для того, чтобы все-таки удалить зловред, нужно перезагрузить компьютер в безопасном режиме, либо войти в другую учетную запись и удалить ссылку запуска в папке roaming. Исследователям безопасности рекомендуется переименовывать свои процессы во что-нибудь безобидное, если они хотят заняться анализом этого вредоноса.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Атака RenderShock бьёт по Windows — опасность даже при наведении на файл

Исследователи в области кибербезопасности обнаружили новый класс атак под названием RenderShock, он кардинально отличается от привычных схем: никаких кликов, переходов по ссылкам или запуска вложений не требуется. Вся атака происходит тихо — достаточно, чтобы система сама что-то «посмотрела» или «обработала» в фоновом режиме.

RenderShock использует пассивные механизмы выполнения, встроенные в современные операционные системы и корпоративные инструменты: панели предпросмотра, службы индексирования, антивирусы и облачные синхронизаторы.

Именно те «удобные» функции, которые помогают нам быстро находить нужные файлы или просматривать их, не открывая.

Что происходит: злоумышленник подсовывает файл — например, PDF с внешней ссылкой, LNK-файл (ярлык), Word-документ с макросами или даже хитроумный «полифайл». Его не нужно открывать — достаточно, чтобы он оказался в зоне действия системного процессора: вы навели на него курсор в проводнике, антивирус просканировал, индексатор добавил в поиск — и всё, атака активируется.

Сценарий RenderShock, как объяснили в Cyfirma, состоит из пяти этапов — от подготовки вредоносного файла до сбора учётных данных и удалённого выполнения кода. Вот некоторые из возможных эффектов:

  • Сбор информации через DNS-запросы и попытки SMB-аутентификации.
  • Кража учётных данных (включая NTLM-хеши).
  • Выполнение вредоносного кода через средства предпросмотра или ярлыки.
  • Утечка данных — и всё это без ведома пользователя.

Пример? Обычный .LNK в ZIP-архиве может заставить проводник Windows тихо обратиться к удалённому серверу за иконкой — и в этот момент утекут ваши аутентификационные данные. Ни предупреждений, ни действий со стороны пользователя.

 

Почему это опасно? Потому что такие атаки используют легитимные системные процессы — например, explorer.exe, searchindexer.exe или обработчики предпросмотра Office. Антивирусы часто их игнорируют, считая, что это просто стандартные функции ОС.

Что рекомендуют специалисты:

  • Отключить функции предпросмотра в проводнике и почтовых клиентах
  • Ограничить исходящий SMB-трафик
  • Ужесточить настройки безопасности Office
  • Внедрить поведенческий анализ процессов, связанных с предпросмотром и индексированием

RenderShock показывает, насколько хрупка граница между удобством и уязвимостью. Всё, что раньше казалось просто «функцией для комфорта», теперь требует такого же внимания, как подозрительные вложения и ссылки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru