Атака вредоносного ПО, посвящённая Олимпиаде 2018 года в Пхенчанге
Исследователи McAffe обнаружили новую кампанию по распространению вредоносного ПО. Целями являются компании, которые участвуют в организации или каким-либо другим способом связанны с Олимпийскими играми в Пхенчанге.
Атака происходит через рассылку фишинговых сообщений электронной почты, замаскированных под уведомление от анти-террористической организации страны в которой расположена организация, к письму приложен документ .doc с вредоносным скриптом.
Как только вы его открываете, документ пытается получить разрешение на проигрывание любого контента, и, если получает его, то запускает консоль с помощью которого дальше уже можно делать всё, что угодно. Ничего нового в этой атаке, за исключением тематики письма, нет.
Но есть одна интересная вещь во всей этой атаке, и это не то, что она посвящена Олимпийским играм. В ней используется абсолютно новая консоль Invoke-PSImage, которая позволяет хакерам скрывать вредоносные скрипты за пикселями в изображениях и затем, в случае необходимости, запускать их прямо из памяти компьютера.
Это очень опасно не только потому, что позволяет скрывать скрипты в картинках и делает их сложнообнаружимыми, но и потому, что запуск из памяти позволяет избежать хранения скрипта в виде файла, а значит, многие антивирусы просто не смогут его обнаружить.
Не нужно даже ничего загружать: Invoke-PSImage может использовать скрипты из изображений, размещённых в интернете. То есть для того, чтобы использовать вредоносный скрипт, его даже не обязательно скачивать на машину. Как только изображение обработано скрипт поступает в консоль windows.
Это ещё одна показательная атака в свете того, что хакеры постепенно перестают использовать обычные .exe файлы для заражения.
Обычно все подобные атаки проходят по стандартному шаблону: спамное сообщение на почту с вложенным doc файлом > в doc-файл встроен макрос > макрос запускает консоль > через консоль загружается .exe файл с вредоносным кодом, который и поступает на исполнение.
Обычные антивирусы могут среагировать на подобную атаку только на самом последнем шаге, так как остальные не являются вредоносной активностью. Опять же антивирус может среагировать только в том случае, если с подобным скриптом уже сталкивались ранее и он был внесён в базу. В противном случае антивирус промолчит.
В данном случае используется ещё более изощрённый способ атаки, который оставляет ещё меньше шансов антивирусу.
Спамное сообщение на почту с вложенным doc файлом > в doc-файл встроен макрос > макрос запускает консоль > через консоль загружается ещё одна консоль, которая запускается из памяти и не хранится в виде файла > с помощью неё запускаются любые другие скрипты, также находящиеся только в оперативной памяти компьютера, но не на жёстком диске.
Эта атака может стать довольно успешной, так как нет исполняемого вредоносного файла, который бы блокировался антивирусами.