Рубрикатор |
Все новости | Новости отрасли |
Выявлен новый способ активации вредоносного ПО
20 декабря 2018 |
Специалисты компании TREND MICRO изучили метод, с помощью которого злоумышленники прятали код для активации вируса в опубликованные в Twitter изображения.
Компания Trend Micro провела исследование, целью которого стал новый пример использования стеганографии — записи скрытого кода в различные участки безвредных файлов — для обхода антивирусов и систем защиты ПК. В данном случае злоумышленники использовали для активации вредоносного ПО два изображения с интернет-мемами, специально загруженные в социальную сеть Twitter.25 и 26 октября неизвестные злоумышленники опубликовали на созданном в 2017 году аккаунте в Twitter изображения с персонажем кинофильма «Матрица» Морфеусом, в которых была закодирована команда /print. Как выяснили специалисты Trend Micro, вредоносное ПО, обозначенное как TROJAN.MSIL.BERBOMTHUM.AA, ищет изображения в указанном аккаунте по определённым параметрам (<img src=\”(.*?):thumb\” width=\”.*?\” height=\”.*?\”/>), затем скачивает их на поражённую систему и использует зашифрованные в файлах команды, чтобы собирать информацию о компьютере и направлять её на закодированный с помощью сервиса Pastebin адрес сервера. При этом в случае с опубликованными мемами хакеры скорей всего использовали не настоящий адрес сервера, а временную «заглушку».
Наиболее интересным с точки зрения исследователей компании оказалось то, что для активации своего вредоносного ПО злоумышленники выбрали вполне легальный сервис, которым ежедневно пользуются сотни миллионов человек по всему миру. А единственный способ устранить угрозу — это отключение аккаунта в Twitter (по состоянию на 13 декабря администрация социальной сети уже заблокировала данную учётную запись), для которого без информации от Trend Micro просто не было бы повода.
Помимо команды /print, которая делает снимок экрана, обнаруженное вредоносное ПО также поддерживает следующие команды:
- /processos — собирает данные о списке запущенных процессов;
- /clip — собирает данные о содержимом буфера обмена;
- /username — получает информацию об имени пользователя заражённого ПК;
- /docs — получает список имён файлов, находящихся по заранее указанному адресу, например, на рабочем столе.
Стоит отметить, что в ходе исследования не рассматривались пути попадания вредоносного ПО на компьютеры жертв, но они явно не связаны со «скомпрометированной» учётной записью в Twitter. Также интересно, что само ПО обнаруживалось многоуровневой системой защиты Trend Micro XGen ещё до начала изучения этого ПО, но специалисты компании считают, что без комплексной и разносторонней защиты компьютеры пользователей и обычные антивирусные программы могут оказаться беззащитными перед лицом вредоносного ПО, которое использует вполне легальные каналы для активации своих функций и, что ещё более важно, пользуется абсолютно безобидным с точки зрения системы набором команд.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Читайте также:
В топ-З киберугроз для промышленности входят вирусы, майнеры и веб-уязвимости
Обнаружен зловред, распространявшийся через веб-сайт энергетической компании
Более 90% анализируемых компаний в 2023 году сталкивались с утечками корпоративных учетных записей
Анализ рынка даркнета: тренды 2023 года и прогнозы на 2024-й
Российский бизнес вышел на новый виток противостояния хакерам
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.