Контакты
Подписка 2024
Защищенный Linux
23 мая. Инструменты миграции на защищенный Linux
Регистрируйтесь на онлайн-конференцию!

Новая программа-вымогатель CatB использует DLL Hijacking для скрытного внедрения в целевые системы

23/03/23

hack164-1

Согласно последнему отчёту специалистов SentinelOne, злоумышленники, стоящие за вредоносной вымогательской кампанией CatB, используют в своих атаках метод, называемый «DLL Hijacking» ( Подмена DLL ) для избежания обнаружения и запуска полезной нагрузки. Об этом пишет Securitylab.

Вымогатель CatB (также известный как CatB99 или Baxtoy) появился в конце прошлого года и, по данным исследователей, является «эволюцией или прямым ребрендингом» другого штамма программы-вымогателя, известного как Pandora. Использование Pandora ранее было приписано группе злоумышленников Bronze Starlight (DEV-0401, Emperor Dragonfly), базирующейся в Китае.

Одной из ключевых характеристик CatB является использование метода подмены DLL через законную службу Microsoft Distributed Transaction Coordinator (MSDTC), которая используется хакерами для извлечения и запуска полезной нагрузки программы-вымогателя. Также вредонос может определить, не запущен ли он в виртуальной среде, чтобы изменить своё поведение в «песочнице» и сбить с толку исследователей кибербезопасности.

Одним из забавных аспектов программы-вымогателя является отсутствие отдельной записки с требованием выкупа. Вместо этого в «шапку» каждого зашифрованного файла прописывается сообщение с адресом криптокошелька злоумышленников и необходимой суммой перевода.

Еще одной особенностью вредоносного ПО является способность собирать конфиденциальные данные, такие как пароли, закладки, историю из популярных веб-браузеров Google Chrome, Microsoft Edge, Internet Explorer и Mozilla Firefox.

«CatB присоединился к длинному ряду программ-вымогателей, которые используют новые методы и нетипичное поведение, вроде добавления записок с выкупом прямо в зашифрованные файлы», — заявил исследователь компании SentinelOne.

Это не первый известный случай использования службы MSDTC в злонамеренных целях. Например, в мае 2021 года компания Trustwave сообщала о вредоносном ПО, получившем название Pingback, в котором использовался тот же метод для обхода решений безопасности и обеспечения постоянства в целевой системе.

Темы:ПреступленияВымогателиSentinelOne
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...