«Красивое» не значит безопасное. Как 4К-пейзаж может слить пароли хакерам
NewsMakerЗлоумышленники использовали Archive.org для скрытой доставки вирусов.
Файл с обоями в высоком разрешении может оказаться входной точкой для полноценной атаки. В конце февраля специалисты обнаружили кампанию, в которой злоумышленники использовали популярный архивный сервис для скрытой доставки вредоносного кода, маскируя его под обычные изображения.
В конце февраля специалисты сопоставили данные сервиса URLhaus и песочницы Tria.ge и обнаружили активную кампанию, использующую Archive.org как площадку для раздачи полезной нагрузки. Операторы прячут .NET-библиотеки с инжектором внутри JPEG-изображений размером 3840 на 2160 пикселей. До байта 1 390 750 файл остаётся обычной картинкой, а дальше начинается закодированная в base64 библиотека, обрамлённая текстовыми маркерами.
С 24 по 28 февраля злоумышленники ежедневно пересобирали и заново загружали вредоносные файлы через четыре учётные записи Gmail. За пять дней появилось 19 загрузок. Один и тот же файл иногда публиковали с разных аккаунтов в один день. Названия и теги состояли из бессмысленных наборов символов, но встречались и португальские фразы, что может указывать на языковую среду оператора.
JavaScript-файл запускал wscript.exe, который в скрытом режиме поднимал PowerShell . Скрипт скачивал изображение с Archive.org, вырезал из него блок между маркерами IN- и -in1, декодировал base64 и загружал полученную .NET-библиотеку напрямую в память через механизм отражённой загрузки сборки. Библиотека маскировалась под Microsoft.Win32.TaskScheduler.dll версии 2.12.2.0 для .NET Framework 4.5, сохраняя метаданные легитимной библиотеки.
Файл с обоями в высоком разрешении может оказаться входной точкой для полноценной атаки. В конце февраля специалисты обнаружили кампанию, в которой злоумышленники использовали популярный архивный сервис для скрытой доставки вредоносного кода, маскируя его под обычные изображения.
В конце февраля специалисты сопоставили данные сервиса URLhaus и песочницы Tria.ge и обнаружили активную кампанию, использующую Archive.org как площадку для раздачи полезной нагрузки. Операторы прячут .NET-библиотеки с инжектором внутри JPEG-изображений размером 3840 на 2160 пикселей. До байта 1 390 750 файл остаётся обычной картинкой, а дальше начинается закодированная в base64 библиотека, обрамлённая текстовыми маркерами.
С 24 по 28 февраля злоумышленники ежедневно пересобирали и заново загружали вредоносные файлы через четыре учётные записи Gmail. За пять дней появилось 19 загрузок. Один и тот же файл иногда публиковали с разных аккаунтов в один день. Названия и теги состояли из бессмысленных наборов символов, но встречались и португальские фразы, что может указывать на языковую среду оператора.
JavaScript-файл запускал wscript.exe, который в скрытом режиме поднимал PowerShell . Скрипт скачивал изображение с Archive.org, вырезал из него блок между маркерами IN- и -in1, декодировал base64 и загружал полученную .NET-библиотеку напрямую в память через механизм отражённой загрузки сборки. Библиотека маскировалась под Microsoft.Win32.TaskScheduler.dll версии 2.12.2.0 для .NET Framework 4.5, сохраняя метаданные легитимной библиотеки.