Хотите дальше читать devby? 📝
Support us

Хакеры атакуют компьютеры безработных айтишников

Эксперты компании SafeBreach выявили шпионский инструмент, который маскируется под процесс, относящийся к подсистеме обновления Windows. Это позволяет ему избегать обнаружения, рассказывает Cnews.

Оставить комментарий
Хакеры атакуют компьютеры безработных айтишников

Эксперты компании SafeBreach выявили шпионский инструмент, который маскируется под процесс, относящийся к подсистеме обновления Windows. Это позволяет ему избегать обнаружения, рассказывает Cnews.

Вредоносный код распространяется вместе с Word-файлом ApplyForm.docm, который представляет собой фальшивую форму для заполнения заявки о приеме на работу в LinkedIn. Документ был загружен с IP-адреса на территории Иордании 25 августа. Исследователи считают, что бэкдор в рамках спиэр-фишинговой кампании распространяет некая продвинутая кибергруппировка.

При открытии зараженного документа и активации встроенного макроса в систему загружается скрипт updater.vbs. Вредонос сразу же обеспечивает себе постоянное присутствие в системе, создавая отложенную системную задачу. Далее скрипт имитирует процесс обновления Windows, который запускается скриптом из поддельного каталога %AppData%\Local\Microsoft\Windows\Update.

Скрипт updater.vbs создает сразу два скрипта PowerShell: Script.ps1 и Temp.ps1. Их содержимое хранится в поддельном документе Word и загружается в тот же поддельный каталог обновлений. Для маскировки содержимого скриптов используется мощная обфускация — на VirusTotal них нулевой коэффициент обнаружения.

Script1.ps1 подключается к серверу, отправляет get-запрос и получает уникальный идентификатор, предположительно обозначающий порядковый номер заражения. Эксперты говорят, что им пришло ID-значение 70.

При последующем запросе Script.ps1 получает команду, которая направляется второму скрипту для декодирования и исполнения, а полученные в результате данные отправляются назад на командный сервер.

Исследователям удалось расшифровать содержание команд и установить, сколько и какие команды сервер отправлял на скомпрометированные системы. В большинстве случаев (66%) запрашивался список активных процессов; на втором месте — команда ожидания (23%), в остальных случаях запрашивалась информация о локальных и сетевых пользователях, изредка списки файлов из конкретных каталогов, включая рабочий стол. В 2% случаев поступала команда на удаление файлов из общедоступных каталогов.

Предполагается, что основная задача скрипта — сбор данных о пользователях конкретных систем и что он не самодостаточная сущность, а лишь элемент более сложной операции.

ИБ-специалисты полагают, что злоумышленники ориентируются на лиц с низким уровнем знания основ кибербезопасности и не слишком знакомых с файловой структурой Windows.

Помогаете devby = помогаете ИТ-комьюнити.

Засапортить сейчас.

Читайте также
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
2 комментария
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
На хакерской конференции показали обновлённый кабель для взлома любых устройств
На хакерской конференции показали обновлённый кабель для взлома любых устройств
На хакерской конференции показали обновлённый кабель для взлома любых устройств
Android 13 взломали практически сразу, как она вышла
Android 13 взломали практически сразу, как она вышла
Android 13 взломали практически сразу, как она вышла

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.