Лаборатория Касперского обнаружила новый тип вирусов и рассказала о схеме атаки в Windows.
Команда Лаборатории Касперского заявила об обнаружении в сети нового вида вредоносной кампании. Опасный код в этом случае хранится в журнале событий Windows.
Эксперты отмечают, что это довольно нестандартная угроза, но при этом весьма опасная, так как при атаках используются самые разные техники, включая CobaltStrike и SilentBreak. Помимо того, злоумышленники задействуют значительное число утилит, позволяющих скрыть присутствие вируса в вашей системе.
— В феврале 2022 года мы впервые наблюдали технику помещения шелл-кода в журналы событий Windows “в дикой природе” во время вредоносной кампании. Он позволяет скрыть “безфайловый” троянец последней стадии от посторонних глаз в файловой системе. Такое внимание к журналам событий в кампании не ограничивается хранением шелл-кодов. Модули Dropper также исправляют собственные функции API Windows, связанные с трассировкой событий (ETW) и интерфейсом сканирования вредоносных программ (AMSI), чтобы сделать процесс заражения более скрытым.
Атака происходит через заражение устройства посредством архива с вредоносными модулями. Специалисты по безопасности удивлены таким видом угрозы, так как он не только подразумевает хранение кода в журналах событий, но и применение коммерческих инструментов для взлома.
Подробнее о новой атаке можно прочитать на сайте Лаборатории, а специалисты Касперского рекомендуют использовать качественное антивирусное ПО для защиты от бесфайловых троянцев.
Напомним, что в учебном курсе Targeted Malware Reverse Engineering эксперты Kaspersky делятся лучшими и наиболее ценными методами построения безопасного мира. Узнайте больше о вредоносных программах с Денисом Легезо и другими замечательными экспертами по адресу: https://kas.pr/bgy7