Бэкдор способен удаленно выполнять вредоносный код и похищать конфиденциальную информацию.-
Исследователи кибербезопасности из «Лаборатории Касперского» рассказали о новом бэкдоре, загружаемом в оперативную память Windows, который разработали «хакеры по найму» (Hackers for Hire, HfH). Бэкдор способен удаленно выполнять вредоносный код и похищать конфиденциальную информацию.
Вредоносное ПО, получившее название PowerPepper, связано с киберпреступной группировкой DeathStalker (ранее называвшейся Deceptikons). Участники данной группировки с 2012 года атакуют юридические фирмы и финансовые компании, расположенные в Европе и на Ближнем Востоке. Преступники начинают свои вредоносные кампании с целенаправленного фишинга, рассылая электронные письма с модифицированными LNK-файлами.
Инструмент для взлома получил такое название из-за того, что он полагается на стеганографические хитрости для доставки полезной нагрузки бэкдора в виде изображения папоротника или перца. Новый вид вредоносного ПО извлекается из поддельного документа Word и использует протокол «DNS поверх TLS» (DNS over TLS, DoT) в качестве канала связи для передачи зашифрованных вредоносных shell-команд с C&C-сервера.
В электронных письмах используются различные темы, такие как контроль выброса углеродных следов в атмосферу, бронирование поездок и текущая пандемия коронавирусной инфекции (COVID-19), а в документах Word есть баннеры с использованием социальной инженерии, призывающие пользователей включить макросы, что приводит к загрузке бэкдора.
Помимо использования макросов и LNK-файлов для развертывания вредоносного ПО, DeathStalker также прибегает к разным методам, позволяющим избежать обнаружения. Главными из них являются возможности скрыть рабочий процесс вредоносного выполнения во встроенных формах и свойствах объектов Word, а также использовать файлы формата Windows Compiled HTML Help в качестве архивов для вредоносов.
«В используемых методах и приемах нет ничего особенно сложного, но весь набор инструментов доказал свою эффективность, довольно хорошо скомпонован и демонстрирует решительные усилия по компрометации различных целей по всему миру», — отметили эксперты.Источник
|
Текущее время: 19-Апр 08:29
Часовой пояс: UTC + 3
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
|
|
!ВНИМАНИЕ!
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете, чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами, и мы незамедлительно удалим ее. Файлы для обмена на трекере предоставлены пользователями сайта, и администрация не несет ответственности за их содержание. Просьба не заливать файлы, защищенные авторскими правами, а также файлы нелегального содержания!
Вход
Регистрация![[Цитировать]](./styles/templates/shift/images/lang/ru/icon_quote.gif "Ответить с цитатой"){kind=icon}
Отправлено: 
Вверх