This is a machine translation. The original page (in English) is available here.

Последние мировые новости: года-Почему США рассматривают возможность запрета TikTok RSS-канал

Главная> > Мировые новости> > Новая вредоносная программа использует утилиту Windows для кражи данных
Лучшие кейлоггеры
Посмотреть еще...

Новая вредоносная программа использует утилиту Windows для кражи данных

  •  
Рейтинг пользователя: 5-1 голосов

Полезные нагрузки на основе WMIC подчеркивают хитрые уловки злоумышленников, которые используют undeleterious системные операции, чтобы укорениться в устройствах Windows.


Следователи обнаружили новую угрозу, которая использует относительно неизвестные утилиты Microsoft Windows и безвредное программное обеспечение, чтобы оставаться невидимым для кражи конфиденциальной информации определенного пользователя.


Как сообщили в Symantec, механизм новой вредоносной атаки заключается в том, чтобы “жить за счет земли”.


Что это значит? Хакеры теперь используют уже установленные законные ресурсы устройства, с которого они хотят украсть информацию. Такие атаки можно назвать безфайловыми, потому что файлы не повреждаются. Никаких следов не осталось вообще. Таким образом, минимальный риск быть обнаруженным.


Новая цепь опасностей использует именно эту технику для атаки.


Symantec также подчеркнула, что эта кампания использует утилиту командной строки Windows Management Instrumentation (WMIC), которая является специальным инструментом устройств Microsoft Windows.


Этот аутентичный инструмент предоставляет интерфейс командной строки для интерфейса управления Windows (WMI), который используется для административных целей, а также для запросов системных настроек, процессов управления и выполнения сценариев.


В сочетании с файлами eXtensible Stylesheet Language (XSL) этот комплекс представляет собой часть многоступенчатой атаки для взлома информации с устройств Windows.


Эта атака включает в себя фишинговую кампанию со ссылкой, распространяемой по URL-адресу. Нажатие на эту поддельную ссылку приведет к загрузке вредоносного файла XSL с удаленного сервера.


Этот файл включает в себя JavaScript, который не так невинен, как может показаться на первый взгляд. В общем, он содержит список из 52 доменов для случайной генерации домена и номера порта для загрузки файлов HTML Application (HTA) и трех библиотек DLL, которые затем доставляются в оба regsvr32.exe и основная полезная нагрузка.


Полезная нагрузка содержит множество модулей для кражи конфиденциальной информации, например, утилиту MailPassview для перехвата пароля электронной почты, программное обеспечение WebBrowser Passview для сбора информации о веб-браузере, кейлоггер и т. д.


По словам Symantec, это не новая вредоносная программа, это обычный механизм распространения, но в этой ситуации функция другая: загрузить вредоносный файл. Использование WMIC позволяет хакерам оставаться незамеченными и предоставляет довольно серьезный инструмент для осуществления своих злонамеренных планов.


В январе следователи из FireEye сообщили, что они практикуются в выявлении слабых мест в Microsoft Office, распространяя вредоносную программу с возможностью кражи конфиденциальной информации, выполнения майнинга криптовалют и запуска атак типа "отказ в обслуживании" (DDoS).


Эта кампания использует PowerShell для укоренения (в данном случае для удаления вредоносных программ) в уязвимых системах.

Дата публикации:
Автор:
Главная> > Мировые новости> > Новая вредоносная программа использует утилиту Windows для кражи данных
Важно! Установка средств компьютерного мониторинга на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.