Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Хакеры используют команду Windows Finger для загрузки вредоносов

18/01/21

windows fingerКиберпреступники используют обычную безобидную команду Windows Finger для загрузки и установки вредоносного бэкдора на устройства жертв.

Команда Finger — созданная в операционных системах Linux/Unix утилита, которая позволяет локально получать список пользователей на удаленном компьютере или информацию о конкретном удаленном пользователе. Помимо Linux, в Windows есть команда finger.exe, которая выполняет те же функции. Для выполнения команды Finger пользователю необходимо ввести finger [user] @ [remote_host].

Исследователь безопасности Кирк Сэйр (Kirk Sayre) обнаружил фишинговую кампанию, в которой использовалась команда Finger для загрузки бэкдора MineBridge. В ходе кампании злоумышленники отправляют фишинговые письма с вредоносными документами Word, замаскированные под резюме от соискателя. Когда пользователь нажимает кнопки «Разрешить редактирование» или «Разрешить содержимое», запускается защищенный паролем макрос для загрузки вредоносного ПО MineBridge.

Макрос использует команду Finger для загрузки сертификата в кодировке Base64 с удаленного сервера. Сертификат представляет собой исполняемый файл вредоносной программы-загрузчика в кодировке base64. Он декодируется с помощью команды certutil.exe, сохраняется как% AppData%\vUCooUr.exe, а затем выполняется.

После запуска вредонос загружает исполняемый файл TeamViewer и использует перехват DLL для загрузки вредоносной библиотеки MineBridge. После загрузки MineBridge удаленные злоумышленники получают полный доступ к компьютеру и могут подслушивать жертву через микрофон зараженного устройства, а также выполнять другие вредоносные действия.

Темы:WindowsLinuxУгрозы
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...