Бесфайловый вредонос прячется в журнале событий Windows

«Лаборатория Касперского» поймала трояна, который использует новую технику сокрытия в ОС — прячется в журналах событий Windows. Таким образом вредоносу удается оставаться незамеченным в файловой системе.

Сам метод зафиксировали в феврале 2022 года, а первые атаки с его использованием датируются аж сентябрем 2021-го. В Kaspersky говорят, что раньше не видели подобного — журнал событий используется для маскировки вредоноса в реальных атаках.

Специалисты пока не могут установить, кто стоит за атаками, но группировка выделяется патчингом «родных» API Windows, связанных с отслеживанием событий в ОС и интерфейсом AMSI.

Киберпреступники тщательно маскируют свои кампании: используют похожие на легальные доменные имена, частные серверы для хостинга и механизмы ухода от детектирования. Они даже выпускают собственные цифровые сертификаты.

Попавший в систему троян отправляет данные на удаленный сервер. Сама программа может снимать цифровой отпечаток зараженной машины, внедрять код в процессы, переходить в спящий режим или просто завершить сеанс операционной системы. Все команды отдаются командным центром — C2, находящимся под управлением злоумышленников.