Хакеры используют Windows-команду Finger для загрузки вредоносного кода

Хакеры используют Windows-команду Finger для загрузки вредоносного кода

Хакеры используют Windows-команду Finger для загрузки вредоносного кода

Обнаружена спам-рассылка, нацеленная на засев бэкдора MineBridge. Загрузка вредоносного кода в данном случае осуществляется с помощью Windows-команды Finger (finger.exe), обычно используемой для вывода информации о пользователях удаленной системы.

Бэкдор MineBridge впервые засветился на радарах ИБ-экспертов в начале прошлого года. На тот момент он распространялся через вредоносные email-рассылки, ориентированные в основном на финансовые организации США. Цепочка заражения запускалась при открытии вложенного документа Word, замаскированного под резюме соискателя вакансии, и исполнении встроенной макрокоманды.

Новая MineBridge-кампания использует ту же приманку. Прикрепленное к спам-письму «резюме» содержит запароленный макрос, который получателю предлагается запустить вручную.

 

Преодолев парольную защиту макрокода, эксперты BleepingComputer выяснили, что при запуске он использует команду Finger для загрузки с удаленного сервера исполняемого файла, замаскированного под цифровой сертификат. Содержимое этого файла закодировано по base64 и на поверку оказалось программой-загрузчиком. После расшифровки с помощью Windows-утилиты certutil загрузчик сохраняется в системе как %AppData%\vUCooUr.exe.

Запуск на исполнение зловредного «сертификата» влечет загрузку исполняемого файла TeamViewer. Вредонос также использует технику подмены DLL для загрузки динамической библиотеки MineBridge в память целевого процесса.

Выполнение кода MineBridge обеспечивает злоумышленнику полный доступ к зараженному ПК, позволяя получить информацию о системе управления учетными записями пользователей (UAC), просматривать список запущенных процессов, завершать работу Windows и перезагружать ее, выполнять различные шелл-команды, включать и выключать микрофон TeamViewer, загружать, модифицировать и удалять произвольные файлы.

О возможности злоупотребления finger.exe с целью загрузки вредоносного кода эксперты предупреждали несколько месяцев назад. В настоящее время эта команда редко используется, и сисадминам рекомендуется ее заблокировать — через AppLocker или каким-либо другим способом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Kaspersky: Каждый второй компьютер в мире всё ещё работает на Windows 10

«Лаборатория Касперского» выяснила, что каждый второй компьютер в мире до сих пор работает на Windows 10. Среди частных пользователей её используют 51%, а в компаниях показатель ещё выше — почти 60%. Проблема в том, что поддержка «десятки» закончится уже в октябре 2025 года.

На Windows 11 перешли далеко не все: всего 36% частных и 26,5% корпоративных устройств.

А кое-кто продолжает сидеть даже на Windows 7, поддержку которой Microsoft прекратила ещё в 2020-м — это 10% у обычных пользователей и 7% у компаний.

Эксперты предупреждают: использование старых ОС в бизнесе — это серьёзный риск. Они чаще становятся целью атак и могут не дружить с современными программами и средствами защиты. В итоге это грозит сбоями в работе и потерями данных.

Многие тянут с обновлением, потому что не видят в новой системе «реальных плюсов» или боятся изменений в интерфейсе. Но, как отмечает эксперт «Лаборатории Касперского» Олег Горобец, старая ОС без обновлений — это как дом с прогнившим забором, который можно сломать одним ударом.

По его словам, для компаний поддержание актуальности ПО, начиная с операционной системы, должно быть приоритетом. Своевременные апдейты снижают риск взлома и связанных с ним проблем — от кражи данных до финансового и репутационного ущерба. Игнорировать обновления нельзя, даже если у вас стоит надёжное антивирусное решение.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru