Truesec обнаружила учетные записи, которые были захвачены хакерами для отправки вредоносного ПО DarkGate Loader.TechInsider
Цепочку заражения запускает VBScript, для сокрытия процесса загрузки используется инструмент командной строки Windows cURL.Anti-Malware.ru
При исполнении сценария вначале проводится проверка целевой системы на наличие антивируса Sophos; при отрицательном результате происходит деобфускация дополнительного кода и запуск шелл-кода.Anti-Malware.ru
В противном случае вредоносная программа может внедрить дополнительный код в атаке под названием “stacked strings”, которая открывает шелл-код, создающий исполняемый файл DarkGate, загружаемый в системную память, пишут эксперты.TechInsider