
Image by jcomp, from Freepik
Хакеры Скрывают Вредоносное ПО в Изображениях с Надежных Веб-Сайтов
Новый отчет от HP Wolf Security подчеркивает тревожные прогрессивные методы доставки вредоносного ПО, включая внедрение вредоносного кода в казалось бы безобидные изображения, размещенные на законных платформах.
Спешите? Вот краткие факты!
- Кампании по распространению вредоносных программ нацеливаются на бизнес, используя счета-фактуры по электронной почте с вредоносными вложениями.
- Скрытые вредоносные программы крадут конфиденциальную информацию, включая пароли и данные кредитных карт.
- Почти 29 000 просмотров одного вредоносного изображения демонстрируют масштаб атаки.
Одной из ключевых находок стали кампании по распространению вредоносных программ, которые внедряли вредоносный код в файлы изображений. Эти изображения загружались на archive.org, доверенный сайт для обмена файлами, чтобы избежать подозрений. Действуя таким образом, хакеры смогли обойти обычные меры безопасности, такие как сетевые фильтры, которые часто опираются на репутацию веб-сайта.
Два типа вредоносного ПО распространялись с помощью этой тактики: VIP Keylogger и 0bj3ctivityStealer. Оба они предназначены для кражи конфиденциальной информации, такой как пароли и данные кредитных карт.
Хакеры отправляли письма, выдавая их за счета или заказы на покупку, чтобы обмануть предприятия и заставить их загрузить вредоносные вложения. Эти вложения содержали файлы, которые, будучи открытыми, вызывали цепную реакцию.
Процесс включал в себя загрузку, на первый взгляд, безвредного изображения с archive.org. Внутри изображения был закодирован вредоносный программный код, который затем самостоятельно устанавливался на компьютер жертвы.
Одно из изображений, связанных с этой кампанией, было просмотрено почти 29 000 раз, что намекает на большой масштаб атаки.
Как только изображение загружено, фрагмент кода извлекает и декодирует вредоносное ПО, скрытое внутри него. Затем вредоносное ПО запускается на устройстве жертвы, записывает нажатия клавиш, крадет пароли и даже делает скриншоты. Чтобы сделать атаку постоянной, вредоносное ПО изменяет реестр компьютера, гарантируя его запуск каждый раз при включении компьютера.
Отчет говорит, что этот метод скрытия вредоносного кода в изображениях особенно эффективен, поскольку он эксплуатирует легитимные платформы, что усложняет его обнаружение традиционными инструментами безопасности.
Исследователи добавляют, что эти инциденты подчеркивают эффективность повторного использования комплектов и компонентов вредоносного ПО, поскольку обе кампании использовали один и тот же .NET загрузчик для установки своих соответствующих полезных нагрузок. Этот модульный подход не только упростил процесс разработки для угрозовых актеров, но и позволил им сосредоточиться на совершенствовании техник, чтобы избежать обнаружения.
Внедрение вредоносного кода в изображения не является новой тактикой, но представляет собой возрождение его популярности благодаря прогрессу в методах обфускации и доставки. В отчете подчеркивается необходимость усиленной защиты конечных точек и обучения сотрудников осознанности для противодействия таким сложным угрозам.
По мере того, как киберпреступники продолжают инновационные разработки, используя законные инструменты и платформы, данный отчет служит жестким напоминанием о развивающемся киберпространстве угроз. Команды по обеспечению безопасности должны оставаться бдительными, принимать проактивные меры и оставаться в курсе событий, чтобы минимизировать риски, которые создают эти новые угрозы.
Оставьте комментарий
Отменить