Специалисты обнаружили новый вредонос, который загружает на компьютер жертвы бэкдор.

Исследователи в сфере информационной безопасности из AlienVault выявили новое вредоносное ПО — GZipDe. Оно является частью многоходовой процедуры, в результате которой на компьютер жертвы устанавливается бэкдор. Пока выявлена только одна такая атака, ее цель неизвестна, но специалисты предполагают кибершпионаж.
0.png
Появление GZipDe
Единственный известный случай активности этого вредоноса обнаружили на в середине июня 2018 года. Пользователь из Афганистана загрузил на VirusTotal зараженный документ Word, содержащий текст статьи, опубликованной в мае. Она посвящена саммиту Шанхайской организации сотрудничества, вопросам в сфере политики, экономики и безопасности Евразийского региона.

VirusTotal скрывает точную информацию о том, кто загрузил файл, поэтому цель кампании выявить не удалось.

Принцип работы
Запущенные пользователем макросы из документа Word запускают скрипт в Visual Basic, который выполняется в PowerShell и позже приводит к загрузке реального вредоноса — GZipDe. Согласно отчету, GZipDe закодирован в .NET и использует пользовательский метод шифровки, чтобы скрыть подозрительные процессы и не активировать антивирусную защиту.

Роль GZipDe заключается в том, чтобы с удаленного сервера загрузить потенциально опасный файл.
1.png
Когда исследователи обнаружили малварь, второй сервер уже был неактивен. Однако Shodan успел проиндексировать его и пометить как загрузчик модуля Metasploit.
2.png
Анализ команды AlienVault показал, что обнаруженный модуль является бэкдором. Он собирает информацию прямо из системы и связывается с контролирующим сервером для получения дальнейших команд.

С развитием технологий злоумышленники переходят от написания собственного вредоносного кода к использованию готовых инструментов. К примеру, в феврале 2018 года на GitHub появился Python-код, который использует для поиска уязвимых устройств базу Shodan, а способ эксплуатации бреши подбирает через Metasploit.

googleвсферебезопасности
25%
0
3
0 GOLOS
0
В избранное
LADAL
Прикольные стихи и новости
3
0

Зарегистрируйтесь, чтобы проголосовать за пост или написать комментарий

Авторы получают вознаграждение, когда пользователи голосуют за их посты. Голосующие читатели также получают вознаграждение за свои голоса.

Зарегистрироваться
Комментарии (0)
Сортировать по:
Сначала старые