Бесфайловый вредонос прячется в журнале событий Windows

Бесфайловый вредонос прячется в журнале событий Windows

Бесфайловый вредонос прячется в журнале событий Windows

«Лаборатория Касперского» поймала трояна, который использует новую технику сокрытия в ОС — прячется в журналах событий Windows. Таким образом вредоносу удается оставаться незамеченным в файловой системе.

Сам метод зафиксировали в феврале 2022 года, а первые атаки с его использованием датируются аж сентябрем 2021-го. В Kaspersky говорят, что раньше не видели подобного — журнал событий используется для маскировки вредоноса в реальных атаках.

Специалисты пока не могут установить, кто стоит за атаками, но группировка выделяется патчингом «родных» API Windows, связанных с отслеживанием событий в ОС и интерфейсом AMSI.

 

Киберпреступники тщательно маскируют свои кампании: используют похожие на легальные доменные имена, частные серверы для хостинга и механизмы ухода от детектирования. Они даже выпускают собственные цифровые сертификаты.

Домен IP Впервые замечен ASN
eleed[.]online 178.79.176[.]136 15 января 2022 63949 – Linode
eleed[.]cloud 178.79.176[.]136 63949 – Linode
timestechnologies[.]org 93.95.228[.]97 17 января 2022 44925 – The 1984
avstats[.]net 93.95.228[.]97 17 января 2022 44925 – The 1984
mannlib[.]com 162.0.224[.]144 20 августа 2021 22612  – Namecheap
nagios.dreamvps[.]com 185.145.253[.]62 17 января 2022 213038 – DreamVPS
opswat[.]info 194.195.241[.]46 11 января 2022 63949 – Linode
178.79.176[.]1 63949 – Linode

Попавший в систему троян отправляет данные на удаленный сервер. Сама программа может снимать цифровой отпечаток зараженной машины, внедрять код в процессы, переходить в спящий режим или просто завершить сеанс операционной системы. Все команды отдаются командным центром — C2, находящимся под управлением злоумышленников.

Мошенники блокируют iPhone подростков через чужой iCloud

Мошенники придумали схему, в которой iPhone превращается в дорогой кирпич буквально за пару минут. Целью становятся подростки с техникой Apple. Сначала злоумышленник входит в доверие, а затем присылает фотографию якобы разбитого телефона.

Дальше начинается спектакль со срочностью: нужно немедленно распечатать билеты, открыть документы или помочь с рабочими материалами.

Для этого подростка просят войти на своём устройстве в чужую учётную запись iCloud.

Как только жертва вводит данные мошенника, тот получает возможность удалённо заблокировать iPhone или iPad. После этого на экране появляется требование заплатить за разблокировку.

В противном случае злоумышленники угрожают удалить личные данные или навсегда оставить устройство заблокированным.

Схема держится не на сложном взломе, а на обычном доверии и панике. Никакие уязвимости iPhone мошенникам не нужны, поскольку пользователь сам впускает их в устройство через чужую учётную запись.

В МВД советуют не входить на своём iPhone или iPad в Apple ID других людей, даже если просьба выглядит срочной и убедительной. Особенно если собеседник давит на жалость, торопит или обещает, что это буквально на минуту.

RSS: Новости на портале Anti-Malware.ru