Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Вредоносный загрузчик «in2al5d p3in4er» продолжает своё шествие по просторам YouTube

20/04/23

В середине марта злоумышленники выкладывали на видеохостинг YouTube инструкции по взлому популярного программного обеспечения по типу Photoshop, Premiere Pro, 3ds Max и AutoCAD, сопровождая ролики вредоносными ссылками.

Исследователи кибербезопасности Morphisec рассмотрели ту же кампанию более подробно и описали принцип действия вредоносного загрузчика под названием «in2al5d p3in4er» (читается «invalid printer»). Загрузчик используется злоумышленниками для доставки инфостилера Aurora, программы для кражи информации на базе языка Go, которая появилась в дикой природе (ITW) в конце 2022 года.

7qm3636uhmkbmeq7vrccsi7zk2ytco8w

Загрузчик, проанализированный компанией Morphisec, использует удивительно простую, но высокоэффективную технику уклонения. Он запрашивает идентификатор поставщика видеокарты, установленной в компьютере, а затем сравнивает этот идентификатор с белым списком. В частности, с видеокартами NVIDIA, AMD и Intel. Если идентификатор поставщика не соответствует значениям из белого списка, загрузчик выдает себя за безопасное приложение и завершает работу.

В ином случае in2al5d p3in4er расшифровывает конечную полезную нагрузку и вводит её в законный процесс «sihost.exe» методом Process Hollowing. В качестве альтернативы, некоторые экземпляры загрузчиков также используют место в выделенной памяти для записи расшифрованной полезной нагрузки и последующего её вызова уже оттуда.

Другим важным аспектом загрузчика является использование Embarcadero RAD Studio для компиляции, что также позволяет in2al5d p3in4er избежать обнаружения. Ещё данный загрузчик умеет обходить «песочницы» и виртуальные машины.

Судя по всему, злоумышленники, стоящие за данным загрузчиком, до сих пор весьма успешно эксплуатируют методы социальной инженерии, потому что вредоносные ролики всё ещё доступны на YouTube. А поскольку даже VirusTotal зачастую не признаёт в in2al5d p3in4er угрозу, единственно верным методом защиты от вредоноса является полный отказ от загрузки взломанного программного обеспечения. Либо же, как недавно сказал Дмитрий Анатольевич Медведев: «Ищите правильных пиратов и скачивайте у них».

Темы:ВидеонаблюдениеYouTubeфишингMorphisec
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...