`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Шпионское ПО дополнено прогрессивной техникой инфицирования компьютеров

+11
голос

Универсальный инструмент хакеров, Smoke Loader, используемый для распространения троянских программ, ransomware и скрытых майнеров криптовалюты, несколько дней назад получил обновление с новой, ранее не применявшейся никем тактикой проникновения на компьютеры.

ПО Smoke Loader, переносившееся в фишинговой электронной почте, в виде документа Microsoft Word, известно с 2011 г. С тех пор оно активно совершенствовалось, а пик его популярности пришёлся на 2018 г. — Smoke Loader рассылался под видом патчей уязвимостей Meltdown и Spectre.

Исследователи из Cisco Talos сообщили о новейшей кампании с применением Smoke Loader. ПО попадает в компьютер в письме с запросом на инвойс от программной фирмы. Его основная вредоносная нагрузка это банковский троянец TrickBot, предназначенный для кражи паролей, идентификационных данных и другой конфиденциальной информации.

В очередном воплощении Smoke Loader экспертов заинтриговало применение техники инъекции кода PROPagate, которая была впервые теоретически описана в конце прошлого года, но ещё не встречалась в Сети.

Этот метод нарушает функцию SetWindowsSubclass, используемую для установки или обновления окон подкласса, работающих в системе. С её помощью может не только внедряться посторонний код и файлы, но и скрываться, что это произошло.

Можно предположить, что авторы Smoke Loader ознакомились с общедоступными публикациями по PROPagate и воспроизвели эту методику для использования в преступных целях. Они также дополнили её техниками, затрудняющими анализ, функционирование антивирусных сканеров среды выполнения, трассировку и отладку.

В некоторых случаях Smoke Loader оснащается собственными подключаемыми модулями, которые предназначены для перехвата чувствительной информации, пересылаемой через браузер — Firefox, Internet Explorer, Chrome, Opera, QQ Browser, Outlook и Thunderbird. Вредоносный код может внедряться даже в такие приложения как TeamViewer, ставя под угрозу персональные данные всех участников сети, содержащей инфицированную машину.

«Мы настоятельно рекомендуем пользователям и организациям следовать рекомендованным практикам безопасности, таким как установка патчей безопасности, по мере того, как они становятся доступными, соблюдать осторожность при получении сообщений от неизвестных третьих лиц и использовать надежное решение оффлайнового резервного копирования. Всё это способствует уменьшению угрозы взлома и восстановлению после любой такой атаки», — добавили исследователи Cisco Talos.

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT