Логотип Windows оказался не защищён от вредоносного ПО

Похоже, что даже культовый логотип Windows не застрахован от зловреда. Некоторым киберпреступникам удалось успешно спрятать внутри него вредоносный код.

Логотип Windows оказался не защищён от вредоносного ПО. Фото: СС0

Эксперты по кибербезопасности из компании Symantec утверждают, что обнаружили одну из таких кампаний, в которой использовался процесс сокрытия вредоносного кода в безвредных изображениях. Он известен как стеганография.

Обычно это делается, чтобы избежать обнаружения антивирусными программами, поскольку такие решения редко определяют изображения как вредоносные.

В данном конкретном случае группа, участвующая в стеганографических атаках, называется Witchetty. В феврале 2022 года она была замечена в атаке минимум на два правительства на Ближнем Востоке.

Witchetty использовала метод, чтобы скрыть бэкдор с шифрованием XOR, который был размещен в облачном сервисе. Это свело к минимуму шансы на обнаружение. Чтобы сбросить веб-шеллы на уязвимые конечные точки, злоумышленники использовали известные бреши Microsoft Exchange ProxyShell для первоначального доступа: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855 и CVE-2021-27065.

Из сообщения Symantec:

«Маскировка полезной нагрузки таким образом позволила злоумышленникам разместить ее на бесплатном доверенном сервисе. Загрузки с доверенных хостов, таких как GitHub, гораздо реже вызывают тревогу, чем загрузки с сервера управления и контроля (C&C), контролируемого злоумышленником».

Бэкдор с шифрованием XOR позволяет злоумышленникам выполнять ряд действий, в том числе вмешиваться в файлы и папки, запускать и завершать процессы, вносить изменения в реестр Windows, загружать дополнительное вредоносное ПО, красть документы, а также превращать скомпрометированную конечную точку в сервер C2.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме