+11 голос |
Универсальный инструмент хакеров, Smoke Loader, используемый для распространения троянских программ, ransomware и скрытых майнеров криптовалюты, несколько дней назад получил обновление с новой, ранее не применявшейся никем тактикой проникновения на компьютеры.
ПО Smoke Loader, переносившееся в фишинговой электронной почте, в виде документа Microsoft Word, известно с 2011 г. С тех пор оно активно совершенствовалось, а пик его популярности пришёлся на 2018 г. — Smoke Loader рассылался под видом патчей уязвимостей Meltdown и Spectre.
Исследователи из Cisco Talos сообщили о новейшей кампании с применением Smoke Loader. ПО попадает в компьютер в письме с запросом на инвойс от программной фирмы. Его основная вредоносная нагрузка это банковский троянец TrickBot, предназначенный для кражи паролей, идентификационных данных и другой конфиденциальной информации.
В очередном воплощении Smoke Loader экспертов заинтриговало применение техники инъекции кода PROPagate, которая была впервые теоретически описана в конце прошлого года, но ещё не встречалась в Сети.
Этот метод нарушает функцию SetWindowsSubclass, используемую для установки или обновления окон подкласса, работающих в системе. С её помощью может не только внедряться посторонний код и файлы, но и скрываться, что это произошло.
Можно предположить, что авторы Smoke Loader ознакомились с общедоступными публикациями по PROPagate и воспроизвели эту методику для использования в преступных целях. Они также дополнили её техниками, затрудняющими анализ, функционирование антивирусных сканеров среды выполнения, трассировку и отладку.
В некоторых случаях Smoke Loader оснащается собственными подключаемыми модулями, которые предназначены для перехвата чувствительной информации, пересылаемой через браузер — Firefox, Internet Explorer, Chrome, Opera, QQ Browser, Outlook и Thunderbird. Вредоносный код может внедряться даже в такие приложения как TeamViewer, ставя под угрозу персональные данные всех участников сети, содержащей инфицированную машину.
«Мы настоятельно рекомендуем пользователям и организациям следовать рекомендованным практикам безопасности, таким как установка патчей безопасности, по мере того, как они становятся доступными, соблюдать осторожность при получении сообщений от неизвестных третьих лиц и использовать надежное решение оффлайнового резервного копирования. Всё это способствует уменьшению угрозы взлома и восстановлению после любой такой атаки», — добавили исследователи Cisco Talos.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |