Лаборатория Касперского обнаружила новый тип вирусов и рассказала о схеме атаки в Windows.

 

 

Команда Лаборатории Касперского заявила об обнаружении в сети нового вида вредоносной кампании. Опасный код в этом случае хранится в журнале событий Windows.

Эксперты отмечают, что это довольно нестандартная угроза, но при этом весьма опасная, так как при атаках используются самые разные техники, включая CobaltStrike и SilentBreak. Помимо того, злоумышленники задействуют значительное число утилит, позволяющих скрыть присутствие вируса в вашей системе.

— В феврале 2022 года мы впервые наблюдали технику помещения шелл-кода в журналы событий Windows “в дикой природе” во время вредоносной кампании. Он позволяет скрыть “безфайловый” троянец последней стадии от посторонних глаз в файловой системе. Такое внимание к журналам событий в кампании не ограничивается хранением шелл-кодов. Модули Dropper также исправляют собственные функции API Windows, связанные с трассировкой событий (ETW) и интерфейсом сканирования вредоносных программ (AMSI), чтобы сделать процесс заражения более скрытым.

Атака происходит через заражение устройства посредством архива с вредоносными модулями. Специалисты по безопасности удивлены таким видом угрозы, так как он не только подразумевает хранение кода в журналах событий, но и применение коммерческих инструментов для взлома.

Подробнее о новой атаке можно прочитать здесь, а специалисты Лаборатории Касперского рекомендуют использовать качественное антивирусное ПО для защиты от бесфайловых троянцев.

Добавить комментарий

Ваш адрес email не будет опубликован.