Злоумышленники начали использовать легитимные инструменты Windows

Злоумышленники начали использовать легитимные инструменты Windows

Исследователи обнаружили новую вредоносную кампанию, в ходе которой злоумышленники используют малоизвестные утилиты Microsoft Windows в связке с безобидными программами, что позволяет им избежать обнаружения. Цель киберпреступников — кража данных.

Вредоносную активность обнаружили эксперты компании Symantec. Преступники подошли оригинально — они используют те инструменты, которые уже установлены на атакуемых машинах.

Помимо использования легитимных инструментов и процессов, злоумышленники запускают простые скрипты и шелл-код в памяти. Это как раз позволяет им произвести так называемую бестелесную атаку.

Благодаря использованию родного для системы программного обеспечения, тем самым минимизируя внедрение сторонних программ, вторжение в систему долгое время остается незамеченным.

Одним из легитимных инструментов, которые используют злоумышленники, является утилита WMIC — Windows Management Instrumentation Command, инструментарий управления Windows. Этот инструмент используется для административных задач, запроса системных настроек, процессов управления и выполнения сценариев.

Вместе с файлами XSL этот инструмент используется как часть многоступенчатой цепочки заражения и кражи конфиденциальных данных с машин Windows.

Сама цепочка начинается с фишинга, где в электронных письмах содержится вредоносная ссылка. Если жертва перейдет по ссылке, злонамеренный файл XSL загрузится с сервера. Сам файл содержит JavaScript, который выполняется с использованием mshta.exe (легитимный процесс Windows).

В коде JavaScript содержится список из 52 доменов, которые используются для случайной генерации домена и порта для загрузки файлов HTA и трех библиотек DLL. Библиотеки впоследствии регистрируются с помощью regsvr32.exe.

Затем уже загружаются дополнительные модули, что приводит к полной компрометации компьютера пользователя.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Обнаруженная Троем Хантом утечка затрагивает президента Франции

Утечка электронных адресов и паролей, о которой на прошлой неделе сообщил исследователь Трой Хант, как оказалось, затронула и президента Франции Эмманюэля Макрона. Французские СМИ распространили информацию о том, что личный Gmail-аккаунт Макрона был среди прочих адресов в слитой базе.

На данном этапе остается неясным, удалось ли злоумышленникам заполучить пароль от почты главы Франции. Так или иначе, администрация Макрона уже подтвердила наличие у президента этой учетной записи, которую он использует для личных переписок.

Сейчас официальные лица Франции считают, что о взломе почты Макрона речь не идет. В администрации уточнили, что пароль от почты меняется регулярно, также Макрон настроил двухэтапную аутентификацию.

Напомним, что в пятницу специалисты «Лаборатории Касперского» прокомментировали крупную утечку электронных адресов и паролей. Об обнаруженной в Сети базе на днях рассказал создатель сервиса Have I Been Pwned Трой Хант.

«Лаборатория Касперского» рекомендует пользователям поменять свои пароли. Чтобы проверить, упоминаются ли ваши учетные данные в слитой базе, можно как раз воспользоваться сервисом Have I Been Pwned.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru