Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Специалисты обнаружили новый дроппер, который доставляет широкий спектр зловредов и собственные вредоносные модули.
Ранее неизвестный дроппер доставляет на целевые устройства широкий спектр полезной нагрузки. Зловред, получивший название Legion Loader, не ограничивается установкой коммерческих инфостилеров, а внедряет на Windows-компьютеры собственный скрипт для кражи данных криптокошельков и RDP-бэкдор.
Специалисты компании Deep Instinct зафиксировали атаки с использованием нового загрузчика и подробно описали механизм его работы. Эксперты не сообщили, каким образом дроппер попадает на целевое устройство, однако отметили, что кампания с его участием направлена на пользователей из США и Европы.
По словам исследователей, попав на компьютер, вредоносная программа сначала регистрируется на одном из своих командных серверов. Злоумышленники создали более 30 центров управления и варьируют их от атаки к атаке, чтобы уберечь от блокировки. После установки связи Legion загружает в целевую систему два или три образца полезной нагрузки, среди которых встречаются распространенные инфостилеры Raccoon, Vidar и Predator the Thief, а также другие вредоносные программы.
По мнению ИБ-специалистов, создатели дроппера предоставляют другим злоумышленникам услуги по доставки вредоносного ПО на целевые устройства. Сразу после установки полезной нагрузки Legion запускает PowerShell-скрипт и скачивает собственные вредоносные инструменты. Один из них — бесфайловый инфостилер для сбора учетных данных криптокошельков и сохраненных в браузерах паролей. Похищенные сведения передаются на командный сервер по защищенному каналу, за шифрование которого отвечает отдельная библиотека.
Второй стандартный модуль представляет собой бэкдор, использующий протокол RDP для коммуникации с центром управления. Скрипт упакован как установщик NSIS и закодирован шифром на основе стандарта Base64. Так же как и встроенный инфостилер, он не оставляет следов на диске, работая в рамках PowerShell-оболочки. Исследователи не раскрывают возможностей зловреда, а лишь отмечают, что он регистрируется на инфицированном устройстве как системный процесс.
В ноябре этого года стало известно, что новым дроппером обзавелся похититель информации Agent Tesla. Установщик, который представляет собой Autoit-скрипт, собирает полезную нагрузку по частям в памяти целевого устройства и не оставляет следов на диске. Чтобы обойти защитные фильтры, злоумышленники использовали для доставки зловреда ARJ-архив, приложенный к спам-письму.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |