Злоумышленники используют Microsoft Build Engine (MSBuild) для бесфайловой доставки троянов удаленного доступа и прочих вредоносных программ на целевые системы Windows. Активная кампания началась в прошлом месяце, сообщают исследователи из компании Anomali, специализирующейся на кибербезопасности. Вредоносные файлы сборки содержат закодированные исполняемые файлы и шеллкод, которые развертывают бэкдоры, позволяя хакерам получать контроль над машинами жертв и красть конфиденциальную информацию. MSBuild - это инструмент сборки с открытым исходным кодом для ...

Кибератакеры все чаще используют двоичные файлы Living Off the Land (LOLBins) для злоупотребления законными инструментами, включая MSBuild.exe — утилиту Windows для разработки, подписанную Microsoft. Такой подход позволяет обходить традиционные механизмы обнаружения, ориентированные на выявление отдельных вредоносных файлов. MSBuild способен внедрять и выполнять произвольный C# code через XML-based project files, что позволяет злоумышленникам запускать вредоносные действия, не оставляя заметного следа вредоносного ПО. Поскольку инструмент имеет легитимный статус, он работает под доверием операционной системы, а значит, его активность сложнее отличить от обычной разработки...