Антивирус не спасет: хакеры теперь прячут целые ОС в обычных файлах
NewsMakerНовый вирус-вымогатель использует виртуальные машины для обхода защиты.
Киберпреступники всё чаще прячут вредоносную активность там, где защитные системы почти ничего не видят. Новый разбор Sophos показывает, что для скрытого проникновения, кражи данных и подготовки шифровальщиков злоумышленники начали активнее использовать QEMU — легальный инструмент виртуализации, который помогает запускать на заражённой машине незаметную для защитных решений виртуальную среду.
По данным Sophos, с конца 2025 года специалисты зафиксировали как минимум две отдельные кампании, где QEMU стал ключевым элементом атаки. В одной из них, STAC4713, преступники разворачивали скрытую виртуальную машину через задачу TPMProfiler, запущенную с правами SYSTEM.
Внутри такой среды размещали набор инструментов для удалённого доступа, кражи учётных данных и вывода информации. Для маскировки образ виртуального диска выдавали то за файл базы данных, то за библиотеку DLL, а связь с внешней инфраструктурой строили через обратные SSH-туннели.
Sophos связывает STAC4713 с распространением вымогателя PayoutsKing. Аналитики считают, что операция может быть связана с группой GOLD ENCOUNTER, которая сосредоточена на атаках на виртуализированную инфраструктуру, включая VMware и ESXi.
Киберпреступники всё чаще прячут вредоносную активность там, где защитные системы почти ничего не видят. Новый разбор Sophos показывает, что для скрытого проникновения, кражи данных и подготовки шифровальщиков злоумышленники начали активнее использовать QEMU — легальный инструмент виртуализации, который помогает запускать на заражённой машине незаметную для защитных решений виртуальную среду.
По данным Sophos, с конца 2025 года специалисты зафиксировали как минимум две отдельные кампании, где QEMU стал ключевым элементом атаки. В одной из них, STAC4713, преступники разворачивали скрытую виртуальную машину через задачу TPMProfiler, запущенную с правами SYSTEM.
Внутри такой среды размещали набор инструментов для удалённого доступа, кражи учётных данных и вывода информации. Для маскировки образ виртуального диска выдавали то за файл базы данных, то за библиотеку DLL, а связь с внешней инфраструктурой строили через обратные SSH-туннели.
Sophos связывает STAC4713 с распространением вымогателя PayoutsKing. Аналитики считают, что операция может быть связана с группой GOLD ENCOUNTER, которая сосредоточена на атаках на виртуализированную инфраструктуру, включая VMware и ESXi.