Злоумышленники используют Microsoft Build Engine (MSBuild) для бесфайловой доставки троянов удаленного доступа и прочих вредоносных программ на целевые системы Windows.
Активная кампания началась в прошлом месяце, сообщают исследователи из компании Anomali, специализирующейся на кибербезопасности. Вредоносные файлы сборки содержат закодированные исполняемые файлы и шеллкод, которые развертывают бэкдоры, позволяя хакерам получать контроль над машинами жертв и красть конфиденциальную информацию.
MSBuild - это инструмент сборки с открытым исходным кодом для .NET и Visual Studio, разработанный компанией Microsoft, который позволяет компилировать исходный код, упаковывать, тестировать и развертывать приложения.
Идея использования MSBuild для бесфайловой компрометации машины заключается в обеспечении максимальной незаметности атаки, поскольку такие вредоносные программы используют легитимное приложение для загрузки вредоносного кода атаки не оставляя следов заражения в системе и обеспечивая злоумышленникам высокий уровень скрытности.
На момент написания статьи только два поставщика безопасности отметили один из файлов MSBuild .proj («vwnfmo.lnk») как вредоносный, а второй образец («72214c84e2.proj»), загруженный на VirusTotal 18 апреля, остается необнаруженным всеми антивирусными системами. Большинство образцов, проанализированных Anomali, как выяснилось, доставляют троян Remcos, а некоторые другие также распространяют троян Quasar и RedLine Stealer.
Remcos (он же Remote Control and Surveillance software) после установки предоставляет полный удаленный доступ. Его функции варьируются от перехвата нажатий клавиш до выполнения произвольных команд и записи микрофонов и веб-камер. Quasar - это троян на базе .NET с открытым исходным кодом, способный осуществлять перехват нажатий клавиш, кражу паролей и др. Redline Stealer, как видно из названия, представляет собой вредоносную программу, которая собирает учетные данные из браузеров, VPN и клиентов обмена сообщениями, а также крадет пароли и кошельки, связанные с криптовалютными приложениями.
«Атакующие, стоящие за этой кампанией, использовали бесфайловую доставку как способ обойти меры безопасности, эта техника используется хакерами различных целей и мотиваций», - заявили исследователи Anomali Тара Гулд и Гейдж Меле. «Эта кампания подчеркивает, что для обеспечения кибербезопасности недостаточно полагаться только на антивирусное программное обеспечение, а использование легитимного кода для сокрытия вредоносного ПО от антивирусных технологий эффективно и растет по экспоненте».
Источник: https://is-systems.org