Хакеры используют Windows-команду Finger для загрузки вредоносного кода

Татьяна Никитина 18 Января 2021 - 16:22

Домашние пользователи

...

Обнаружена спам-рассылка, нацеленная на засев бэкдора MineBridge. Загрузка вредоносного кода в данном случае осуществляется с помощью Windows-команды Finger (finger.exe), обычно используемой для вывода информации о пользователях удаленной системы.

Бэкдор MineBridge впервые засветился на радарах ИБ-экспертов в начале прошлого года. На тот момент он распространялся через вредоносные email-рассылки, ориентированные в основном на финансовые организации США. Цепочка заражения запускалась при открытии вложенного документа Word, замаскированного под резюме соискателя вакансии, и исполнении встроенной макрокоманды.

Новая MineBridge-кампания использует ту же приманку. Прикрепленное к спам-письму «резюме» содержит запароленный макрос, который получателю предлагается запустить вручную.

Преодолев парольную защиту макрокода, эксперты BleepingComputer выяснили, что при запуске он использует команду Finger для загрузки с удаленного сервера исполняемого файла, замаскированного под цифровой сертификат. Содержимое этого файла закодировано по base64 и на поверку оказалось программой-загрузчиком. После расшифровки с помощью Windows-утилиты certutil загрузчик сохраняется в системе как %AppData%\vUCooUr.exe.

Запуск на исполнение зловредного «сертификата» влечет загрузку исполняемого файла TeamViewer. Вредонос также использует технику подмены DLL для загрузки динамической библиотеки MineBridge в память целевого процесса.

Выполнение кода MineBridge обеспечивает злоумышленнику полный доступ к зараженному ПК, позволяя получить информацию о системе управления учетными записями пользователей (UAC), просматривать список запущенных процессов, завершать работу Windows и перезагружать ее, выполнять различные шелл-команды, включать и выключать микрофон TeamViewer, загружать, модифицировать и удалять произвольные файлы.

О возможности злоупотребления finger.exe с целью загрузки вредоносного кода эксперты предупреждали несколько месяцев назад. В настоящее время эта команда редко используется, и сисадминам рекомендуется ее заблокировать — через AppLocker или каким-либо другим способом.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Мая 2026 - 17:30

Общее

ЦИПР-2026 бесплатно откроет выставку для всех желающих в последний день

В заключительный день конференции ЦИПР, 21 мая, выставочная экспозиция будет открыта для всех желающих. Посетить её можно будет бесплатно, но потребуется предварительная регистрация на сайте мероприятия и бейдж посетителя. Выставка разместится в зеркальных павильонах Нижегородской ярмарки.

Гости смогут посмотреть цифровые разработки, программные решения, платформы и технологические сервисы, которые применяются в разных отраслях и в повседневной жизни.

Открытый день проводят ежегодно. Его задача — сделать технологическую повестку доступнее не только для участников деловой программы, но и для жителей города, студентов, молодых специалистов и всех, кому интересно, чем сейчас живёт ИТ-рынок.

Для посещения нужно выбрать дату 21 мая и удобный временной слот при регистрации. После заполнения формы на почту придёт подтверждение и информация о получении бейджа. Количество мест в каждом слоте ограничено.

В тот же день на территории Нижегородской ярмарки стартует городской технологический фестиваль «Тех-Френдли Викенд». Он продолжит тему технологий в более открытом формате: с лекциями, дискуссиями и интерактивными мероприятиями для молодёжи и широкой аудитории.

ЦИПР-2026 пройдёт в Нижнем Новгороде с 18 по 21 мая, а «Тех-Френдли Викенд» — с 21 по 23 мая.

Последний день ЦИПР — это возможность попасть на крупную технологическую выставку без профессионального бейджа участника и посмотреть, какие цифровые решения компании показывают не только чиновникам и бизнесу, но и обычным посетителям.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!