Троянец PlugRAT маскируется под отладчик Microsoft для обхода антивируса

Было замечено, что хакеры маскируют троян удаленного доступа PlugRAT под отладчик Microsoft, чтобы обойти антивирусные решения и скомпрометировать целевые конечные точки.

Троянец PlugRAT маскируется под отладчик Microsoft для обхода антивируса. Фото: СС0

Эксперты по кибербезопасности из Trend Micro недавно обнаружили неизвестного злоумышленника, использующего x64dbg для доставки трояна. x64dbg — это инструмент отладки с открытым исходным кодом, который, как утверждается, довольно популярен в сообществе разработчиков. Обычно он используется для проверки кода режима ядра и пользовательского режима, аварийных дампов или регистров ЦП.

Однако здесь он используется в атаке, известной как неопубликованная загрузка DLL.

Чтобы программа работала правильно, ей нужен определенный файл .DLL. Если имеется несколько DLL-файлов с одинаковым именем, сначала будет запущен тот, который находится в той же папке, что и исполняемый файл, что и используют хакеры. Предоставляя модифицированный файл DLL вместе с программой, они гарантируют, что законное программное обеспечение в конечном итоге вызовет вредоносное ПО.

В этом случае программное обеспечение имеет действующую цифровую подпись, которая может «запутать» некоторые инструменты безопасности, пояснили исследователи. Это позволяет злоумышленникам «летать незаметно», сохранять постоянство, повышать привилегии и обходить ограничения на выполнение файлов.

Из сообщения исследователей

«Обнаружение и анализ атаки вредоносного ПО с использованием отладчика с открытым исходным кодом x32dbg.exe [32-разрядный отладчик для x64dbg] показывает нам, что сторонняя загрузка DLL по-прежнему используется злоумышленниками сегодня, поскольку это эффективный способ обойти систему безопасности. измеряет и получает контроль над целевой системой», — говорится в сообщении Trend Micro. измеряет и получает контроль над целевой системой. Злоумышленники продолжают использовать эту технику, поскольку она использует фундаментальное доверие к законным приложениям. Эта техника останется жизнеспособной для злоумышленников, чтобы доставить вредоносного ПО и получить доступ к конфиденциальной информации, пока системы и приложения продолжают доверять динамическим библиотекам и загружать их».

Лучший способ защититься от таких угроз — убедиться, что вы знаете, какие программы вы запускаете, и доверяете тому, кто поделился исполняемым файлом. Trend Micro считает, что атаки с боковой загрузкой останутся актуальным вектором атак на долгие годы, поскольку они используют «фундаментальное доверие к законным приложениям».

Из сообщения исследователей:

«Этот метод будет оставаться жизнеспособным для злоумышленников для доставки вредоносного ПО и получения доступа к конфиденциальной информации до тех пор, пока системы и приложения продолжают доверять динамическим библиотекам и загружать их».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

Microsoft 365 Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).

Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).