Фахівці Microsoft попередили користувачів про активну шкідливу кампанію з зараження комп’ютерів шкідливим ПЗ Astaroth, яке складно виявити звичними рішеннями безпеки.
Кампанія була виявлена командою розробників Windows Defender ATP, комерційної версії антивірусного продукту Windows Defender. За словами експерта команди Андреа Леллем (Andrea Lelli), фахівці запідозрили недобре після виявлення різкого стрибка в використанні інструменту Windows Management Instrumentation Command-line (WMIC).
WMIC є легітимний інструмент в сучасних версіях Windows, проте раптовий стрибок в його використанні вказує на шкідливу кампанію. Проаналізувавши більш детально, фахівці виявили масштабну операцію з розсилки фішингових листів з посиланням на web-сайт, що містить файл .LNK.
Після завантаження та відкриття файлу запускався WMIC і ряд інших легітимних інструментів Windows, які завантажували додатковий код, перекидали дані один одному і виконували код виключно в пам’яті (так звані безфайлові виконання). Оскільки ніякі файли при цьому на диск не зберігались, звичні рішення безпеки атаки не виявляли.
На фінальному етапі атаки на систему завантажувалося шкідливе ПЗ Astaroth, що є інфостілером для викрадення облікових даних додатків. Перші атаки з його використанням були виявлені в 2018 році. У лютому нинішнього року атакували таким чином користувачів в Європі і Бразилії.
Фахівці Microsoft зафіксували нову кампанію в травні-червні. Ні на одному етапі атаки не використовувалися файли, які не були б системними. Подібний тип атаки, коли використовуються тільки інструменти, вже присутні на системі, називається “living off the land”. За останні три роки атаки цього типу використовуються все частіше, змушуючи виробників антивірусних рішень розробляти нові способи їх детектування.
До речі, Google тестує окрему панель управління відтворенням, яка буде вбудована в інтерфейс настільної версії Chrome.
Також більше десяти мільйонів власників смартфонів Samsung встановили шахрайський додаток Updates for Samsung, що видається кіберзлочинцями за оновлення прошивки.
Окрім цього, дослідники з Міжнародного інституту комп’ютерних наук стверджують, що 1325 додатків, доступних для завантаження в Google Play, шпигують за користувачами без їх дозволу.
