Хакерская магия: как злоумышленники превращают обычный текст в вирус прямо в памяти вашего компьютера
NewsMakerРассказываем об атаке SHADOW#REACTOR, не оставляющей после себя никаких улик.
Злоумышленники развернули новую кампанию с применением многоэтапной схемы заражения, направленную на доставку вредоносного ПО Remcos RAT — инструмента удалённого управления, который позволяет незаметно контролировать скомпрометированное устройство. Специалисты Securonix, обнаружившие атаку , дали ей условное обозначение SHADOW#REACTOR. Она примечательна сочетанием малозаметных механизмов доставки и стойкой схемы уклонения от обнаружения.
Сценарий заражения построен на последовательном исполнении нескольких компонентов, каждый из которых маскируется и взаимодействует с другими звеньями цепи. Всё начинается с запуска скрытого скрипта на языке Visual Basic, который запускается через стандартный системный компонент Windows — wscript.exe.
Этот скрипт активирует PowerShell -загрузчик, обращающийся к внешнему серверу за частями полезной нагрузки, представленной в виде обычного текста. Сегменты объединяются в памяти и превращаются в закодированный загрузчик, который запускается через защищённый компонент на базе .NET и используется для получения конфигурации Remcos RAT с удалённого ресурса.
Финальный этап задействует легитимный системный инструмент MSBuild.exe, известный как один из популярных LOLBin -элементов, позволяющий обойти защитные механизмы за счёт использования встроенных средств самой операционной системы. В результате все компоненты вредоносного ПО размещаются в системе без необходимости сохранять исполняемые файлы в открытом виде.
Злоумышленники развернули новую кампанию с применением многоэтапной схемы заражения, направленную на доставку вредоносного ПО Remcos RAT — инструмента удалённого управления, который позволяет незаметно контролировать скомпрометированное устройство. Специалисты Securonix, обнаружившие атаку , дали ей условное обозначение SHADOW#REACTOR. Она примечательна сочетанием малозаметных механизмов доставки и стойкой схемы уклонения от обнаружения.
Сценарий заражения построен на последовательном исполнении нескольких компонентов, каждый из которых маскируется и взаимодействует с другими звеньями цепи. Всё начинается с запуска скрытого скрипта на языке Visual Basic, который запускается через стандартный системный компонент Windows — wscript.exe.
Этот скрипт активирует PowerShell -загрузчик, обращающийся к внешнему серверу за частями полезной нагрузки, представленной в виде обычного текста. Сегменты объединяются в памяти и превращаются в закодированный загрузчик, который запускается через защищённый компонент на базе .NET и используется для получения конфигурации Remcos RAT с удалённого ресурса.
Финальный этап задействует легитимный системный инструмент MSBuild.exe, известный как один из популярных LOLBin -элементов, позволяющий обойти защитные механизмы за счёт использования встроенных средств самой операционной системы. В результате все компоненты вредоносного ПО размещаются в системе без необходимости сохранять исполняемые файлы в открытом виде.