Атака вредоносного ПО, посвящённая Олимпиаде 2018 года в Пхенчанге

Исследователи McAffe обнаружили новую кампанию по распространению вредоносного ПО. Целями являются компании, которые участвуют в организации или каким-либо другим способом связанны с Олимпийскими играми в Пхенчанге.

Атака происходит через рассылку фишинговых сообщений электронной почты, замаскированных под уведомление от анти-террористической организации страны в которой расположена организация, к письму приложен документ .doc с вредоносным скриптом.

Как только вы его открываете, документ пытается получить разрешение на проигрывание любого контента, и, если получает его, то запускает консоль с помощью которого дальше уже можно делать всё, что угодно. Ничего нового в этой атаке, за исключением тематики письма, нет.

Но есть одна интересная вещь во всей этой атаке, и это не то, что она посвящена Олимпийским играм. В ней используется абсолютно новая консоль Invoke-PSImage, которая позволяет хакерам скрывать вредоносные скрипты за пикселями в изображениях и затем, в случае необходимости, запускать их прямо из памяти компьютера.

Это очень опасно не только потому, что позволяет скрывать скрипты в картинках и делает их сложнообнаружимыми, но и потому, что запуск из памяти позволяет избежать хранения скрипта в виде файла, а значит, многие антивирусы просто не смогут его обнаружить.

Не нужно даже ничего загружать: Invoke-PSImage может использовать скрипты  из изображений, размещённых в интернете. То есть для того, чтобы использовать вредоносный скрипт, его даже не обязательно скачивать на машину. Как только изображение обработано скрипт поступает в консоль windows.

Это ещё одна показательная атака в свете того, что хакеры постепенно перестают использовать обычные .exe файлы для заражения.

Обычно все подобные атаки проходят по стандартному шаблону: спамное сообщение на почту с вложенным doc файлом > в doc-файл встроен макрос > макрос запускает консоль > через консоль загружается .exe файл с вредоносным кодом, который и поступает на исполнение.

Обычные антивирусы могут среагировать на подобную атаку только на самом последнем шаге, так как остальные не являются вредоносной активностью. Опять же антивирус может среагировать только в том случае, если с подобным скриптом уже сталкивались ранее и он был внесён в базу. В противном случае антивирус промолчит.

В данном случае используется ещё более изощрённый способ атаки, который оставляет ещё меньше шансов антивирусу.

Спамное сообщение на почту с вложенным doc файлом > в doc-файл встроен макрос > макрос запускает консоль > через консоль загружается ещё одна консоль, которая запускается из памяти и не хранится в виде файла > с помощью неё запускаются любые другие скрипты, также находящиеся только в оперативной памяти компьютера, но не на жёстком диске.

Эта атака может стать довольно успешной, так как нет исполняемого вредоносного файла, который бы блокировался антивирусами.

Ещё по теме

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *