This is a machine translation. The original page (in English) is available here.
Главная> > Мировые новости>> Новая вредоносная программа использует утилиту Windows для кражи данных
Лучшие кейлоггеры
Посмотреть еще...

Новая вредоносная программа использует утилиту Windows для кражи данных

  •  
Пользовательский рейтинг: 5-1 голосов

Полезные нагрузки на основе WMIC подчеркивают хитрые уловки злоумышленников, которые используют undeleterious системные операции, чтобы укорениться в устройствах Windows.


Следователи обнаружили новую угрозу, которая использует относительно неизвестные утилиты Microsoft Windows и безвредное программное обеспечение, чтобы оставаться невидимым для кражи конфиденциальной информации определенного пользователя.


Как сообщили в Symantec, новый механизм атаки вредоносных программ состоит в том, чтобы “жить вне Земли”.


Что же это значит? Хакеры теперь используют уже установленные законные ресурсы устройства, с которого они хотят украсть информацию. Такие атаки можно назвать бесфайловыми, потому что никакие файлы не повреждены. Никаких следов не осталось вообще. Таким образом, минимальный риск быть обнаруженным.


Новая цепь опасности использует именно эту технику для атаки.


Symantec также подчеркнул, что эта кампания использует утилиту командной строки Windows Management Instrumentation (WMIC), которая является специальным инструментом устройств Microsoft Windows.


Этот аутентичный инструмент предоставляет интерфейс командной строки для интерфейса управления Windows (WMI), который используется в административных целях, а также для системных параметров запросов, процессов управления и сценариев выполнения.


В сочетании с расширяемыми файлами языка таблиц стилей (XSL) этот комплекс представляет собой часть многоступенчатой атаки для взлома информации с устройств Windows.


Эта атака включает в себя фишинговую кампанию со ссылкой, распространяемой через URL. Нажатие на эту поддельную ссылку приведет к загрузке вредоносного файла XSL с удаленного сервера.


Этот файл включает JavaScript, который не так невинен, как может показаться на первый взгляд. В общем, он содержит список из 52 доменов для случайной генерации домена и номера порта для загрузки файлов HTML-приложений (HTA) и трех библиотек DLL, которые затем доставляются в оба regsvr32.exe и основная полезная нагрузка.


Полезная нагрузка содержит множество модулей для кражи конфиденциальной информации, например, утилита MailPassview для перехвата пароля электронной почты, программное обеспечение WebBrowser Passview для сбора информации о веб-браузере, кейлоггер и т. д.


Согласно Symantec, это не новая вредоносная программа, это обычный механизм распространения, но в этой ситуации функция другая: для загрузки вредоносного файла. Использование WMIC позволяет хакерам оставаться незамеченными и предоставляет довольно серьезный инструмент для выполнения их злонамеренных планов.


В январе следователи из FireEye сообщили, что они практикуются в выявлении слабых мест в Microsoft Office путем распространения вредоносных программ с возможностью кражи конфиденциальной информации, для выполнения майнинга криптовалют и запуска атак типа "отказ в обслуживании" (DDoS).


Эта кампания использует PowerShell для укоренения (в данном случае для удаления вредоносных программ) в уязвимые системы.

Дата публикации:
Автор:
Главная> > Мировые новости>> Новая вредоносная программа использует утилиту Windows для кражи данных
Очень важно! Установка средств мониторинга компьютера на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.