Хакеры используют Windows-команду Finger для загрузки вредоносного кода

Татьяна Никитина 18 Января 2021 - 16:22

Домашние пользователи

...

Обнаружена спам-рассылка, нацеленная на засев бэкдора MineBridge. Загрузка вредоносного кода в данном случае осуществляется с помощью Windows-команды Finger (finger.exe), обычно используемой для вывода информации о пользователях удаленной системы.

Бэкдор MineBridge впервые засветился на радарах ИБ-экспертов в начале прошлого года. На тот момент он распространялся через вредоносные email-рассылки, ориентированные в основном на финансовые организации США. Цепочка заражения запускалась при открытии вложенного документа Word, замаскированного под резюме соискателя вакансии, и исполнении встроенной макрокоманды.

Новая MineBridge-кампания использует ту же приманку. Прикрепленное к спам-письму «резюме» содержит запароленный макрос, который получателю предлагается запустить вручную.

Преодолев парольную защиту макрокода, эксперты BleepingComputer выяснили, что при запуске он использует команду Finger для загрузки с удаленного сервера исполняемого файла, замаскированного под цифровой сертификат. Содержимое этого файла закодировано по base64 и на поверку оказалось программой-загрузчиком. После расшифровки с помощью Windows-утилиты certutil загрузчик сохраняется в системе как %AppData%\vUCooUr.exe.

Запуск на исполнение зловредного «сертификата» влечет загрузку исполняемого файла TeamViewer. Вредонос также использует технику подмены DLL для загрузки динамической библиотеки MineBridge в память целевого процесса.

Выполнение кода MineBridge обеспечивает злоумышленнику полный доступ к зараженному ПК, позволяя получить информацию о системе управления учетными записями пользователей (UAC), просматривать список запущенных процессов, завершать работу Windows и перезагружать ее, выполнять различные шелл-команды, включать и выключать микрофон TeamViewer, загружать, модифицировать и удалять произвольные файлы.

О возможности злоупотребления finger.exe с целью загрузки вредоносного кода эксперты предупреждали несколько месяцев назад. В настоящее время эта команда редко используется, и сисадминам рекомендуется ее заблокировать — через AppLocker или каким-либо другим способом.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 23 Апреля 2026 - 09:06

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Билайн готов организовать доступ к VPN из белого списка

Идея белого списка VPN может оказаться полезной и для обычных пользователей, и для компаний, которым нужен доступ к сервисам, ушедшим из России. С такой инициативой ранее выступили представители отраслевых ассоциаций, предложив её как альтернативу «ковровым блокировкам» VPN, которые создают серьёзные проблемы для бизнеса.

В «Билайне» заявили, что готовы предоставить доступ к VPN из белого списка, если эту инициативу одобрят.

О готовности реализовать такой механизм в случае его одобрения сообщил РИА Новости генеральный директор «Билайна» Сергей Анохин.

Кроме того, он предложил не ограничивать мобильный интернет в кризисных ситуациях для пользователей с подтверждёнными аккаунтами на Госуслугах.

«Идея "белого списка VPN" тоже может быть востребована в условиях, когда VPN блокируют, а многим пользователям важно сохранить доступ к сервисам, ушедшим из России, — онлайн-кинотеатрам, нейросетям и другим продуктам. Мы в "Билайне" рассматриваем возможность реализации такого продукта», — рассказал глава компании.

По словам Сергея Анохина, у операторов уже есть надёжные инструменты верификации, которые позволяют отличать реальных пользователей от различных автоматизированных систем. При этом связка номера телефона с Госуслугами, по его мнению, могла бы стать дополнительной гарантией.

Инициативу о создании белого списка VPN ранее выдвинули участники круглого стола «Замедление интернет-сервисов и сохранение цифровой экономики: взгляд отрасли». Эта мера рассматривается как альтернатива тотальной блокировке VPN без разбора, которую проводит Роскомнадзор. Из-за неё затрудняется доступ, в том числе у ИТ-компаний, к репозиториям кода.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!