В марте 2024 года к специалистам обратились представители крупного российского предприятия, работающего в отрасли грузовых железнодорожных перевозок.Хакер Online
Первый пейлоад содержал настоящий файл PDF для отвлечения внимания и исполняемый файл с названием YandexUpdater.exe, маскирующийся под компонент для обновления «Яндекс Браузера» (название реального компонента — service_update.exe).Хакер Online
В свою очередь, легитимная библиотека Wldp.dll, функция которой заключается в обеспечении безопасности запуска приложений, является системной и находится в папке %WINDIR%\System32.Хакер Online
Результатом расшифровки является шелл-код, выполнение которого позволяет запустить в скомпрометированной системе приложение, написанное на языке .NET.Хакер Online