Новости Хакеры используют системный калькулятор Windows для заражения трояном Quasar RAT

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
DLL Sideloading снова демонстрирует своё превосходство над инструментами безопасности.


qr05t3ttbdw0th12ck8safuizcmrytyp.jpg


Троян удалённого доступа с открытым исходным кодом Quasar RAT использует технику DLL Sideloading , чтобы незаметно извлекать данные из заражённых устройств на базе Windows.

По словам исследователей Uptycs , этот метод использует системное доверие, которым данные файлы пользуются в среде Windows. В Для просмотра ссылки Войди или Зарегистрируйся специалисты подробно описали, как вредоносное ПО эксплуатирует «ctfmon.exe» и «calc.exe» в ходе атаки.

Quasar RAT, также известный как CinaRAT или Yggdrasil, представляет собой легитимный инструмент на базе C# для удалённого администрирования. Он способен собирать информацию о системе, список запущенных приложений, файлы, нажатия клавиш, скриншоты и выполнять произвольные команды оболочки.

Техника DLL Sideloading часто используется киберпреступниками, позволяя им запускать свои собственные полезные нагрузки, подменяя DLL-файлы доверенных программ вредоносными.

В качестве отправной точки атаки Uptycs указывает на ISO -образ, содержащий в себе три файла. При запуске исполняемого файла внутри образа инициируется загрузка библиотеки «MsCtfMonitor.dll», в которой и скрыт вредоносный код.

Скрытый код представляет собой другой исполняемый файл, который внедряется в «Regasm.exe», инструмент регистрации сборки Windows, чтобы запустить следующий этап атаки. Тут уже запускается подлинный файл «calc.exe», то есть системный калькулятор, но с вредоносной DLL-библиотекой. В конечном итоге, именно калькулятор и загружает на компьютер жертвы троян Quasar RAT.

Троян, в свою очередь, устанавливает соединение с удалённым сервером, чтобы регулярно отправлять информацию о заражённой системе. Более того, он даже настраивает обратный прокси-сервер для быстрого доступа к конечной точке.

Пока неясно, кто стоит за этой атакой и какой именно вектор использовался для её инициации, однако исследователи предполагают, что распространение произошло посредством фишинговых писем. Эксперты также напомнили о необходимой бдительности при работе с сомнительными письмами, ссылками или вложениями, ведь именно они чаще всего приводят к заражению компьютеров вредоносным софтом.

Если у вас есть сомнения по поводу «чистоты» вашего компьютера, стоит в обязательно порядке просканировать его любым авторитетным антивирусным решением с последними сигнатурными базами.
 
Источник новости
www.securitylab.ru

Похожие темы