Найти в Дзене
CISOCLUB
11,5 тыс подписчиков

Вредоносные файлы LNK под маской обоев: угроза AsyncRAT

6
2 мин
Недавняя кампания, раскрытая Cyble Research and Intelligence Labs (CRIL), демонстрирует новую угрозу в области кибербезопасности: использование вредоносных файлов LNK, замаскированных под обои для рабочего стола. Эти файлы предназначены для запуска AsyncRAT, троянца для удаленного доступа, что делает их особенно опасными для unsuspecting пользователей. Файлы ярлыков созданы с целью привлечь внимание пользователей к популярным анимационным персонажам, что затрудняет их идентификацию как вредоносных. После выполнения, файл LNK запускает запутанный сценарий PowerShell, инициируя многоэтапный процесс развертывания. Ключевые особенности этой атаки включают: Сценарий PowerShell создает веб-запрос для загрузки полезной нагрузки второго этапа с внешнего URL-адреса, выполняя его непосредственно в памяти, чтобы избежать обнаружения. Процесс включает: Одним из ключевых компонентов этой кампании является AsyncRAT, который предоставляет злоумышленникам широкий контроль над системой жертвы. С его по
Оглавление
Источник: cyble.com
Источник: cyble.com

Недавняя кампания, раскрытая Cyble Research and Intelligence Labs (CRIL), демонстрирует новую угрозу в области кибербезопасности: использование вредоносных файлов LNK, замаскированных под обои для рабочего стола. Эти файлы предназначены для запуска AsyncRAT, троянца для удаленного доступа, что делает их особенно опасными для unsuspecting пользователей.

Методы атакующих

Файлы ярлыков созданы с целью привлечь внимание пользователей к популярным анимационным персонажам, что затрудняет их идентификацию как вредоносных. После выполнения, файл LNK запускает запутанный сценарий PowerShell, инициируя многоэтапный процесс развертывания. Ключевые особенности этой атаки включают:

  • Использование обфускации и обхода механизмов безопасности.
  • Применение инструмента с открытым исходным кодом Null-amsi для обхода интерфейса сканирования вредоносных программ (AMSI) и отслеживания событий для Windows (ETW).
  • Шифрование полезной нагрузки с помощью AES и сжатие с GZIP.

Технические детали

Сценарий PowerShell создает веб-запрос для загрузки полезной нагрузки второго этапа с внешнего URL-адреса, выполняя его непосредственно в памяти, чтобы избежать обнаружения. Процесс включает:

  • Подготовку пакетного файла с закодированным кодом PowerShell и шифрованными данными.
  • Динамическое выполнение встроенных сценариев для противодействия статическому анализу.
  • Изменение защиты памяти AMSI для предотвращения ее корректной работы.

Результаты атаки

Одним из ключевых компонентов этой кампании является AsyncRAT, который предоставляет злоумышленникам широкий контроль над системой жертвы. С его помощью они могут:

  • Красть данные.
  • Устанавливать дополнительные вредоносные программы.
  • Выполнять удаленные команды.

Заключение

Эта кампания является ярким примером сложного подхода к доставке и реализации вредоносных программ, подчеркивая необходимость повышения уровня кибербезопасности для противодействия таким скрытым угрозам. Как отметили специалисты CRIL: “Необходимо оставаться бдительными и осведомленными о новых методах атак, чтобы защитить свои системы от угроз.”

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Вредоносные файлы LNK под маской обоев: угроза AsyncRAT".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются