Новый метод распространения вредоносного ПО через фишинговые кампании: анализ Ahnlab (ASEC)
Аналитический центр безопасности Ahnlab (ASEC) обнаружил инновационный способ распространения вредоносного ПО с помощью модифицированного загрузчика Modiloader (DBATLOADER). Данная угроза распространяется через фишинговые рассылки по электронной почте и задействует сложные техники маскировки и скрытности, которые затрудняют её обнаружение и блокировку.
Механизм заражения и распространения
Фишинговые e-mail рассылки выдавали себя за сообщения от легитимных организаций, побуждая пользователей открывать вложения якобы для подтверждения деталей транзакции. Вложения содержали архив с BAT-скриптом, который после запуска активировал DBATLOADER (файл x.exe), закодированный в BASE64. Основные этапы заражения включают:
- Разархивацию и исполнение сценария BAT для запуска DBATLOADER.
- Маскировку исполняемого файла под SVCHOST.PIF в каталоге WindowsSyswow64.
- Использование техники сторонней загрузки DLL (DLL Side-Loading) для запуска вредоносной библиотеки networkils.dll совместно с легитимным процессом Easinvoker.exe.
Функциональность и скрытность вредоносного ПО
DBATLOADER управляется с помощью нескольких BAT-скриптов, обрабатываемых VBATLOADER, которые расшифровывают и исполняют команды для обеспечения максимальной скрытности. Ключевыми элементами являются:
- Скрипт 5696.cmd, отвечающий за запуск SVCHOST.PIF, который подгружает networkils.dll и затем удаляет библиотеку после выполнения.
- Скрипт NEO.CMD, который копирует PowerShell.exe и изменяет настройки защиты Windows Defender для обхода обнаружения.
- Создание маскировочного файла wxiygome.pif, который скрывает выполнение Snakekeylogger в рамках обычных процессов.
Snakekeylogger: скрытая угроза для личных данных
Snakekeylogger — вредоносная программа, разработанная на .NET, специально предназначенная для кражи конфиденциальных данных с различных каналов:
- электронная почта (e-mail);
- FTP и SMTP;
- Telegram.
Она способна захватывать системную информацию, ввод с клавиатуры и содержимое буфера обмена, что ставит под угрозу безопасность пользователей и корпоративных сетей.
Методы уклонения и важность защиты
DBATLOADER применяет сложные методы обхода защиты, включая:
- стороннюю загрузку библиотек (DLL Side-Loading);
- внедрение в системные процессы, такие как CMD.exe и PowerShell.exe;
- деактивацию защиты Windows Defender с помощью скриптов.
Эксперты ASEC рекомендуют:
- проявлять максимальную осторожность при открытии файлов скриптов и вложений из непроверенных источников;
- регулярно обновлять программное обеспечение и антивирусные базы;
- сохранять бдительность в отношении подозрительных электронных писем и признаков фишинга.
Осведомленность пользователей и своевременная реакция на потенциальные угрозы остаются ключевыми факторами в защите от подобных вредоносных кампаний.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Modiloader и Snakekeylogger: новый уровень фишинговых угроз".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.