Еще один важный инструмент Windows используется для загрузки вредоносных программ
Еще один важный инструмент Windows используется для загрузки вредоносных программ. Фото: СС0
По словам исследователей из K7 Security Labs, которые первыми обнаружили эту серию атак, хакеры рассылали фишинговое электронное письмо, содержащее файл ISO. ISO — это файл образа оптического диска, который при запуске будет загружаться под новой литерой диска (как если бы пользователь загрузил компакт-диск или DVD-диск).
В этом случае ISO содержит чистую копию исполняемого файла WerFault.exe, а также три дополнительных файла — файл DLL с именем faultrep.dll, файл XLS с именем File.xls и файл ярлыка с именем Inventory & Our specialities.lnk.
Жертва сначала щелкала ярлык, который запускал законный файл WerFault.exe. Учитывая, что это чистые файлы, они не будут вызывать никаких антивирусных предупреждений.
Затем WerFault.exe попытается загрузить файл faultrep.dll, который в обычных обстоятельствах также является законным файлом, необходимым для правильной работы программы. Однако WerFault сначала будет искать файл в той же папке, где он находится, и, если DLL является вредоносной (как в данном случае), он, по сути, запустит вредоносное ПО.
Согласно K7 Security Labs, DLL создаст два потока: один загружает в память DLL трояна удаленного доступа Pupy (dll_pupyx64.dll), а другой открывает File.xls — файл-приманку, который не служит никакой другой цели, кроме как отвлечь жертву пока вредоносное ПО загружается на конечной точке.
Pupy предоставляет злоумышленникам полный доступ к целевому устройству, позволяя им выполнять команды, красть любые данные или перемещаться по сети по своему усмотрению.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было