Получи случайную криптовалюту за регистрацию!

​ Вредоносное ПО скрывается в снимках далеких галактик. Ан | ITsec NEWS

Вредоносное ПО скрывается в снимках далеких галактик.

 Аналитики Securonix обнаружили новую вредоносную кампанию под названием, которая которая использует фишинговые письма, вредоносные документы и снимки с телескопа для распространения вредоносного ПО. Ее назвали «GO#WEBBFUSCATOR». Вредонос написан на языке программирования Golang и не обнаруживается антивирусными системами на VirusTotal.

Заражение начинается с фишингового письма с вложенным вредоносным документом «Geos-Rates.docx», который загружает файл, содержащий обфусцированный VBS-макрос. Он автоматически запускается, если макросы включены в пакете Office. Затем код загружает JPG-изображение «OxB36F8GEEC634.jpg» с удаленного ресурса «xmlschemeformat[.]com», декодирует его в исполняемый файл «msdllupdate.exe» с помощью certutil.exe и запускает его.

В программе просмотра изображений JPG-файл показывает скопление галактик SMACS 0723, опубликованное NASA в июле 2022 года. Но если открыть изображение в текстовом редакторе, можно обнаружить дополнительное содержимое, замаскированное под сертификат — закодированную в Base64 полезную нагрузку, которая превращается во вредоносный 64-битный исполняемый файл.

Строки полезной нагрузки дополнительно обфусцированы с помощью ROT25, а двоичный файл использует XOR-шифрование, чтобы скрыть вредоноса от аналитиков. Кроме того, вредоносное ПО изменяет регистр, чтобы избежать обнаружения службами безопасности на основе сигнатур.

Специалисты проанализировали вредонос и сделали вывод, что он закрепляется в системе, копируя себя в ’%%localappdata%%microsoftvault\’ и добавляя новый ключ реестра.

Запустившись, вредоносная программа устанавливает DNS-соединение с C&C-сервером злоумышленников и отправляет зашифрованные запросы. На C&C-сервере сообщения считываются и расшифровываются. Кроме того, сервер злоумышленников может устанавливать временные интервалы между запросами на соединениями, изменяя таймаут с помощью nslookup, а еще посылать команды, которые выполняются в командной строке Windows.

Исследователи отмечают, что домены, используемые в ходе кампании, зарегистрировали недавно. Securonix уже предоставила набор индикаторов компрометации, включающий как сетевые, так и хостовые индикаторы.

#ВредоносноеПО #Галактика

ITsec NEWS
Следующее сообщение
telegram-store.com © 2016-2024
Неофициальный сайт про Telegram
Все права защищены. Копирование и использование полных материалов запрещено, частичное цитирование возможно только при условии гиперссылки на сайт telegram-store.com.