Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Обнаружена новая бесфайловая вредоносная кампания

09/07/19

hack12-2Специалисты Microsoft предупредили пользователей об активной вредоносной кампании по заражению компьютеров вредоносным ПО Astaroth, которую сложно детектировать привычными решениями безопасности.

Кампания была обнаружена командой разработчиков Windows Defender ATP, коммерческой версии антивирусного продукта Windows Defender. По словам участницы команды Андреа Лелли (Andrea Lelli), специалисты заподозрили неладное после обнаружения резкого скачка в использовании инструмента Windows Management Instrumentation Command-line (WMIC).

WMIC представляет собой легитимный инструмент в современных версиях Windows, однако внезапный скачок в его использовании явно указывал на вредоносную кампанию. Присмотревшись внимательнее, специалисты обнаружили масштабную операцию по рассылке фишинговых писем с ссылкой на web-сайт, содержащий файл .LNK.

После загрузки и открытия файла запускался WMIC и ряд других легитимных инструментов Windows, которые загружали дополнительный код, перебрасывали данные один другому и выполняли код исключительно в памяти (так называемое бесфайловое выполнение). Поскольку никакие файлы при этом на диск не сохранялись, привычные решения безопасности атаку не детектировали.

На финальном этапе атаки на систему загружалось вредоносное ПО Astaroth, представляющее собой инфостилер для похищения учетных данных для ряда приложений. Первые атаки с его использованием были обнаружены в 2018 году. В феврале нынешнего года вредонос атаковал пользователей в Европе и Бразилии.

Специалисты Microsoft зафиксировали новую кампанию в мае-июне. Более 95% от всех затронутых пользователей проживают в Бразилии. Как отметила Лелли, ни на одном этапе атаки не использовались файлы, которые не были бы системными. Подобный тип атаки, когда используются только инструменты, уже присутствующие на системе, называется «living off the land». За последние три года атаки данного типа используются все чаще, вынуждая производителей антивирусных решений разрабатывать новые способы их детектирования.

Темы:MicrosoftПреступленияAstaroth
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...