Хакеры используют Windows-команду Finger для загрузки вредоносного кода

Татьяна Никитина 18 Января 2021 - 16:22

Домашние пользователи

...

Обнаружена спам-рассылка, нацеленная на засев бэкдора MineBridge. Загрузка вредоносного кода в данном случае осуществляется с помощью Windows-команды Finger (finger.exe), обычно используемой для вывода информации о пользователях удаленной системы.

Бэкдор MineBridge впервые засветился на радарах ИБ-экспертов в начале прошлого года. На тот момент он распространялся через вредоносные email-рассылки, ориентированные в основном на финансовые организации США. Цепочка заражения запускалась при открытии вложенного документа Word, замаскированного под резюме соискателя вакансии, и исполнении встроенной макрокоманды.

Новая MineBridge-кампания использует ту же приманку. Прикрепленное к спам-письму «резюме» содержит запароленный макрос, который получателю предлагается запустить вручную.

Преодолев парольную защиту макрокода, эксперты BleepingComputer выяснили, что при запуске он использует команду Finger для загрузки с удаленного сервера исполняемого файла, замаскированного под цифровой сертификат. Содержимое этого файла закодировано по base64 и на поверку оказалось программой-загрузчиком. После расшифровки с помощью Windows-утилиты certutil загрузчик сохраняется в системе как %AppData%\vUCooUr.exe.

Запуск на исполнение зловредного «сертификата» влечет загрузку исполняемого файла TeamViewer. Вредонос также использует технику подмены DLL для загрузки динамической библиотеки MineBridge в память целевого процесса.

Выполнение кода MineBridge обеспечивает злоумышленнику полный доступ к зараженному ПК, позволяя получить информацию о системе управления учетными записями пользователей (UAC), просматривать список запущенных процессов, завершать работу Windows и перезагружать ее, выполнять различные шелл-команды, включать и выключать микрофон TeamViewer, загружать, модифицировать и удалять произвольные файлы.

О возможности злоупотребления finger.exe с целью загрузки вредоносного кода эксперты предупреждали несколько месяцев назад. В настоящее время эта команда редко используется, и сисадминам рекомендуется ее заблокировать — через AppLocker или каким-либо другим способом.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Яков Шпунт 23 Марта 2026 - 16:08

Сбои программ Сбои оборудования Общее

Сбои мобильного интернета добрались до общественных туалетов в Москве

Из-за ограничений мобильного интернета в центре Москвы возникли проблемы с оплатой общественных туалетов. В некоторых случаях не помогает даже наличный расчёт. В результате пользование такими туалетами для горожан и туристов превратилось в настоящую задачу со звёздочкой. По имеющимся данным, проблема затрагивает около 30 точек, расположенных ближе всего к Кремлю.

О ситуации пишет издание «Подъём». Как пояснили журналистам в компании ОРК, которая управляет этими общественными туалетами в Москве, сбои возможны даже при оплате наличными.

Дело в том, что связь с управляющими серверами в любом случае идёт через мобильный интернет. В периоды наиболее жёстких ограничений, которые возникают спорадически, такое соединение полностью пропадает.

«Мы сейчас с нашими подрядчиками, которые занимаются оплатой, договариваемся, чтобы нас внесли в „белый список“, сейчас идёт процесс согласования, мы этот вопрос решаем. Для нас это тоже большая проблема. Такое случается, но мы в процессе решения. Оплата проходит с перебоями: иногда да, иногда нет, и это от нас не зависит. Если бы мы могли это исправить, мы бы исправили», — прокомментировали ситуацию в ОРК.

Отключения мобильного интернета в Москве начались 5 марта. Сначала они затронули юг города, а затем сместились в центральную часть. По оценкам, ущерб бизнесу составляет около 1 млрд рублей в сутки.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!