Поддельные установщики Telegram распространяют опасную малварь
Поддельные установщики Telegram распространяют опасную малварь. Фото: Pexels
По словам исследователей кибербезопасности Minerva Labs, неизвестный хакер распространяет два файла за одну загрузку. Первый является законным установщиком Telegram, а второй — программой AutoIT, также загрузчиком, но для вредоносного ПО PurpleFox.
После загрузки Telegram не запускается, а AutoIT, напротив, начинает работу. Похоже, это двухэтапная атака и первый этап из которых — разведка. Вредоносное ПО сначала просканирует устройство, отключит все механизмы защиты, установит несколько записей в реестре, а когда всё будет готово, отправит сигнал на свой сервер управления и контроля (C2), после чего может начаться загрузка вредоносного ПО.
Установленная малварь Purple Fox, может нанести большой ущерб скомпрометированному устройству. Функционал зловреда имеет широкий спектр от поиска файлов и их эксфильтрации до уничтожения процессов, удаления данных, а также проникновения в другие системы Windows или загрузки и запуска другого вредоносного кода.
В отчете Minerva labs не содержится более подробного описания того, кто стоит за атакой, в нем говорится, что многоступенчатый подход усложняет решениям по кибербезопасности обнаружение и устранение угрозы.
Из сообщения компании:
«Злоумышленник смог скрыть большую часть атаки от внимания, разделив атаку на несколько небольших файлов, большинство из которых имели очень низкие показатели обнаружения антивирусными ядрами, а на заключительном этапе это привело к заражению руткитами Purple Fox»
В компании также сообщают, что файлы малвари распространяются по-разному, от электронной почты до фишинговых сайтов. К тому времени, когда исследователи опубликовали свои результаты, сервер C2 уже не работал.
Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было