Эксперты AhnLab выявили новый способ распространения вредоносной программы XwormRAT через стеганографию
Аналитический центр безопасности AhnLab (ASEC) опубликовал исследование, в котором раскрывается новый, более изощрённый метод доставки вредоносного ПО XwormRAT. Использование стеганографии в рамках фишинговых кампаний значительно усложняет обнаружение и нейтрализацию угроз, с которыми сталкиваются как специалисты по кибербезопасности, так и конечные пользователи.
Механизм атаки: от фишинга к сложному внедрению вредоносного кода
Распространение XwormRAT начинается с фишинговых электронных писем, в которых злоумышленники применяют стеганографию для маскировки вредоносного контента. На первом этапе запускается код на VBScript или JavaScript, который вплетает вредоносные скрипты в кажущийся безобидным код. Этот исходный скрипт, в свою очередь, инициирует выполнение встроенного PowerShell-сценария.
Особенности PowerShell-сценария включают:
- Использование кодировки BASE64 с добавлением фиктивных символов для затруднения анализа;
- Удаление лишних символов во время исполнения для извлечения вредоносной нагрузки;
- Загрузку дополнительного вредоносного ПО с внешних серверов.
Стеганография с использованием JPG-файлов: новая ступень маскировки
Ключевой элемент доставки вредоносного ПО — файл изображения в формате JPG. Этот файл содержит не только скрытый вредоносный код, но и загрузчик, написанный на платформе .NET. Такой подход позволяет обойти большинство традиционных систем обнаружения, так как изображение выглядит привычно для пользователя и механизмов безопасности.
Кроме того, модифицированные версии XwormRAT распознают определённые шаблоны, а именно подписи растрового изображения в конце JPG-файлов. На основании пиксельных данных, извлекаются значения R, G и B, что позволяет вредоносному коду функционировать по аналогии с предыдущими версиями. Это свидетельствует о высокой универсальности и адаптивности применяемого метода стеганографии, который с легкостью можно адаптировать для разных вредоносных программ.
Рекомендации для пользователей и компаний
В условиях роста числа атак с применением сложных методов маскировки ASEC настоятельно рекомендует:
- Проявлять особую осторожность при работе с электронными письмами и вложениями из непроверенных или неизвестных источников;
- Использовать современные решения по фильтрации фишинга и антивирусные продукты с поддержкой обнаружения стеганографических техник;
- Проводить регулярное обучение сотрудников основам кибербезопасности, особенно в части распознавания подозрительных сообщений;
- Обновлять программное обеспечение и системы безопасности для защиты от новых вариантов malware.
Новые данные AhnLab подчеркивают, что злоумышленники постоянно развивают методы компрометации систем, и борьба с ними требует комплексного подхода и своевременного информирования пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Стеганография в XwormRAT: новые методы скрытой доставки вредоносного ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
