Зловред использует службу электронной подписи Microsoft для кражи паролей
Зловред использует службу электронной подписи Microsoft для кражи паролей. Фото: Pexels
По словам исследователей кибербезопасности из Check Point Research (CPR), которые обнаружили новую кампанию хакеров, в последний раз вредоносная программа ZLoader использовалась для распространения вымогателя Conti несколько месяцев назад.
Однако на этот раз системы заражаются непосредственно ZLoader, а цель кампании — украсть конфиденциальные данные, а не зашифровать устройства.
В CPR объясняют, что в процессе распространения нет ничего необычного. Во-первых, жертва устанавливает программу удаленного управления, «притворяющуюся установкой Java», хотя на самом деле она предоставляет злоумышленникам полный доступ к системе и позволяет им загружать и скачивать файлы, а также запускать сценарии.
Затем злоумышленники «загружают и запускают несколько сценариев, которые загружают дополнительные сценарии, запускающие mshta.exe с файлом appContrast.dll в качестве параметра».
Файл appContrast.dll подписан Microsoft, хотя дополнительная информация была добавлена в конец файла, объясняет в CPR. Эта информация загружает и запускает ZLoad, который крадет пароли и другие конфиденциальные данные.
В CPR утверждают, что вредоносное ПО было установлено более чем на 2 тыс. устройств в 111 странах, при этом большинство жертв находятся в США, Канаде и Индии.
Помимо применения обновления Microsoft для строгой проверки Authenticode, которая не применяется по умолчанию, в Check Point Research также напоминают всем, что нужно быть внимательными при установке программ из неизвестных источников или сайтов. И быть бдительным при переходе по ссылкам или открытии вложений в сообщениях электронной почты, поскольку они часто бывают вредоносными.
Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было