Срочно. Инструмент сборки Microsoft используется для распространения вредоносного ПО

Хакеры применяют Microsoft Build Engine (MSBuild) для развёртывания средств удалённого доступа для кражи паролей

Злоумышленники злоупотребляют Microsoft Build Engine (MSBuild) для развёртывания средств удалённого доступа (RAT) и вредоносных программ для кражи информации в рамках продолжающейся кампании.

Срочно. Инструмент сборки Microsoft используется для распространения вредоносного ПО

Инструмент сборки Microsoft используется для распространения вредоносного ПО. Фото: Pixabay

MSBuild (msbuild.exe) — это законная платформа разработки Microsoft с открытым исходным кодом, аналогичная утилите make для Unix, для создания приложений.

Этот инструмент разработки может создавать приложения в любой системе Windows, если ему предоставлен файл проекта схемы XML, в котором рассказывается, как автоматизировать процесс сборки (компиляция, упаковка, тестирование и развёртывание).

Как отметила группа исследования угроз Anomali, вредоносные файлы проекта MSBuild, доставленные в рамках этой кампании, включают в себя закодированные исполняемые файлы, которые злоумышленники использовали для взлома компьютера жертвы

Аналитики компании Anomali Тара Гулд и Гейдж Меле:

«Хотя нам не удалось определить метод распространения файлов .proj, целью этих файлов было выполнение либо Remcos, либо RedLine Stealer»

Злоумышленники начали загружать Remcos RAT, Quasar RAT и RedLine Stealer на компьютеры своих жертв в прошлом месяце в ходе атак, которые все ещё были активны во вторник, за два дня до того, как Anomali представила своё исследование.

После установки RAT в целевой системе их можно использовать для сбора нажатий клавиш, кражи учётных данных и снимков экрана, отключения антивирусного программного обеспечения, повышения устойчивости и удалённого полного управления устройствами.

На компьютерах, на которых злоумышленники развернули программу для кражи информации, вредоносное ПО будет сканировать веб-браузеры, приложения для обмена сообщениями, а также программное обеспечение для VPN и криптовалюты, чтобы украсть учётные данные пользователей.

RedLine также может собирать и извлекать системную информацию, файлы cookie и информацию о криптовалютном кошельке из файлов конфигурации и данных приложений, хранящихся на устройствах жертв.

Использование легитимного средства разработки Microsoft MSBuild позволяет злоумышленникам успешно уклоняться от обнаружения, загружая свои вредоносные данные непосредственно в память атакованного компьютера.

По данным VirusTotal, образцы вредоносного ПО, используемые в этой кампании, либо не обнаруживаются, либо обнаруживаются очень небольшим количеством механизмов защиты от вредоносных программ.