Файлы виртуальных жестких дисков, такие как .vhd и .vhdx, находят применение не только в разработке программного обеспечения, но и в киберпреступности. Эти инструменты позволяют злоумышленникам скрывать вредоносное ПО, обходя современные системы защиты.
Недавнее исследование компании Cofense Intelligence показало, что монтируемые файлы виртуального жесткого диска стали популярными среди киберпреступников. Эксперты отмечают, что эти файлы используются для обхода средств обнаружения, таких как шлюзы защищенной электронной почты и антивирусные программы. Вредоносное ПО остается незамеченным, поскольку оно скрыто внутри смонтированных файлов.
В рамках одной из последних кампаний злоумышленники сосредоточились на фишинговых атаках, нацеленных на испаноговорящих пользователей. Электронные письма содержали файлы .vhdx, которые при открытии запускали скрипт, загружающий Remcos RAT в память системы. Злоумышленники использовали старую функцию AutoRun, позволяющую автоматически запускать файлы при монтировании тома, что делает системы с устаревшими версиями Windows особенно уязвимыми.
Хотя более новые версии Windows отключают AutoRun, пользователи, не обновившие свои системы, остаются под угрозой. Даже без этой функции киберпреступники могут использовать AutoPlay, чтобы заставить жертв вручную запускать вредоносные программы. Вдобавок, злоумышленники манипулируют хэшами файлов, добавляя ненужные данные, что еще больше усложняет их обнаружение.