1240 подписчиков
В новом отчете, команда исследователей показала, как работают дропперы вредоносного ПО, которые называли «TicTacToe».
Дропперы обычно приходили в фишинговых письмах с файлами .iso во вложении. Когда дроппер запускался, он извлекал и загружал в память несколько файлов DLL, которые были запутаны и трудны для анализа.
Команда провела анализ методов запутывания, используемых чтобы скрыть зловредные действия. Например, они загружали сборки во время выполнения и использовали обфускацию DeepSea.
Команда также выявила, что дропперы имели многоэтапную и многоуровневую структуру, состоящую из файлов и библиотек .NET, которые загружались в память один за другим, включая финальную зловредную программу. Кроме того, дропперы постоянно менялись: в новых кампаниях они использовали уникальные строки, чтобы не быть обнаруженными.
Исследование говорит, что дроппер TicTacToe это универсальный инструмент, который, скорее всего, продается на чёрном рынке разным злоумышленникам, а не принадлежит какой-то одной группе.
Около минуты
19 февраля