Злоумышленники начали использовать легитимные инструменты Windows

Злоумышленники начали использовать легитимные инструменты Windows

Злоумышленники начали использовать легитимные инструменты Windows

Исследователи обнаружили новую вредоносную кампанию, в ходе которой злоумышленники используют малоизвестные утилиты Microsoft Windows в связке с безобидными программами, что позволяет им избежать обнаружения. Цель киберпреступников — кража данных.

Вредоносную активность обнаружили эксперты компании Symantec. Преступники подошли оригинально — они используют те инструменты, которые уже установлены на атакуемых машинах.

Помимо использования легитимных инструментов и процессов, злоумышленники запускают простые скрипты и шелл-код в памяти. Это как раз позволяет им произвести так называемую бестелесную атаку.

Благодаря использованию родного для системы программного обеспечения, тем самым минимизируя внедрение сторонних программ, вторжение в систему долгое время остается незамеченным.

Одним из легитимных инструментов, которые используют злоумышленники, является утилита WMIC — Windows Management Instrumentation Command, инструментарий управления Windows. Этот инструмент используется для административных задач, запроса системных настроек, процессов управления и выполнения сценариев.

Вместе с файлами XSL этот инструмент используется как часть многоступенчатой цепочки заражения и кражи конфиденциальных данных с машин Windows.

Сама цепочка начинается с фишинга, где в электронных письмах содержится вредоносная ссылка. Если жертва перейдет по ссылке, злонамеренный файл XSL загрузится с сервера. Сам файл содержит JavaScript, который выполняется с использованием mshta.exe (легитимный процесс Windows).

В коде JavaScript содержится список из 52 доменов, которые используются для случайной генерации домена и порта для загрузки файлов HTA и трех библиотек DLL. Библиотеки впоследствии регистрируются с помощью regsvr32.exe.

Затем уже загружаются дополнительные модули, что приводит к полной компрометации компьютера пользователя.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Т2 будет предоставлять все услуги ИБ под единым брендом Safewall

Российский оператор связи Т2 объединил все свои ИБ-сервисы на общей платформе и зарегистрировал под нее новый товарный знак — Safewall. Инвестиции в новый проект, по оценкам экспертов, составили несколько сотен миллионов рублей.

В настоящее время абонентам Т2 доступны возможности проактивной защиты, поведенческого анализа, антифрод, голосовой ассистент. Развивать SafeWall планируется за счет добавления новых модулей — собственных разработок и решений партнеров компании.

Базовый уровень безопасности бесплатен и включает блокировку мошеннических звонков, антиспам для СМС, защиту от скрытых подписок, защиту от взлома аккаунта Госуслуг (запрет на доставку СМС-кодов во время звонков).

В рамках бесплатного ИБ-пакета также доступны блокировка телефонных вызовов и СМС с зарубежных номеров, автоматическая маркировка входящих звонков, мониторинг утечек персональных данных, помощь голосового ассистента.

Набор защитных функций можно расширить за счет подключения платных сервисов — таких как «Где мои дети» (геолокация), «Антивирус Kaspersky» и Kaspersky Safe Kids.

Получить доступ к Safewall можно из соответствующего раздела в мобильном приложении Т2:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru