Бесфайловый вредонос прячется в журнале событий Windows
«Лаборатория Касперского» поймала трояна, который использует новую технику сокрытия в ОС — прячется в журналах событий Windows. Таким образом вредоносу удается оставаться незамеченным в файловой системе.
Сам метод зафиксировали в феврале 2022 года, а первые атаки с его использованием датируются аж сентябрем 2021-го. В Kaspersky говорят, что раньше не видели подобного — журнал событий используется для маскировки вредоноса в реальных атаках.
Специалисты пока не могут установить, кто стоит за атаками, но группировка выделяется патчингом «родных» API Windows, связанных с отслеживанием событий в ОС и интерфейсом AMSI.
Киберпреступники тщательно маскируют свои кампании: используют похожие на легальные доменные имена, частные серверы для хостинга и механизмы ухода от детектирования. Они даже выпускают собственные цифровые сертификаты.
| Домен | IP | Впервые замечен | ASN |
| eleed[.]online | 178.79.176[.]136 | 15 января 2022 | 63949 – Linode |
| eleed[.]cloud | 178.79.176[.]136 | – | 63949 – Linode |
| timestechnologies[.]org | 93.95.228[.]97 | 17 января 2022 | 44925 – The 1984 |
| avstats[.]net | 93.95.228[.]97 | 17 января 2022 | 44925 – The 1984 |
| mannlib[.]com | 162.0.224[.]144 | 20 августа 2021 | 22612 – Namecheap |
| nagios.dreamvps[.]com | 185.145.253[.]62 | 17 января 2022 | 213038 – DreamVPS |
| opswat[.]info | 194.195.241[.]46 | 11 января 2022 | 63949 – Linode |
| – | 178.79.176[.]1 | – | 63949 – Linode |
Попавший в систему троян отправляет данные на удаленный сервер. Сама программа может снимать цифровой отпечаток зараженной машины, внедрять код в процессы, переходить в спящий режим или просто завершить сеанс операционной системы. Все команды отдаются командным центром — C2, находящимся под управлением злоумышленников.