Установится само, можно ничего не нажимать. Новый вирус игнорирует любые отказы пользователей
NewsMakerВесь секрет в том, как ловко в системе подменили один системный файл.
В январе 2026 года специалисты японской компании IIJ зафиксировали новую модификацию вредоносной программы PlugX, применяемой в целевых атаках. Анализ показал возможную связь кампании с группировкой UNC6384, которую связывают с китайскими кибершпионскими операциями. UNC6384 считают близкой к Mustang Panda и известной атаками на государственные структуры стран Юго-Восточной Азии, включая дипломатические представительства.
Новая версия распространяется через исполняемый файл «Browser_Updater.exe», маскирующийся под обновление браузера. После запуска программа отображает фальшивое окно установки, однако заражение происходит независимо от действий пользователя. С удалённого сервера загружается MSI-файл, который устанавливает компоненты вредоноса в каталог %LOCALAPPDATA%\pZhozR и запускает легитимный «Avk.exe» из состава антивируса G DATA. Далее применяется техника подмены библиотек: через DLL Sideloading загружается вредоносная «Avk.dll», инициирующая выполнение основного кода.
Разработчики использовали API Hashing для динамического разрешения системных функций, включая NtCreateFile и NtReadFile. Зашифрованный shell-код хранится в файле «AVKTray.dat» и расшифровывается в памяти, после чего активируется основная нагрузка PlugX. Такой подход усложняет статический анализ и снижает вероятность обнаружения.
Конфигурация вредоноса размещена в секции .data и зашифрована с применением RC4. В отличие от образцов, обнаруженных до декабря 2025 года, новая версия дополнительно кодирует параметры перед шифрованием. Ключ RC4 формируется из строки VOphJokPpbbQ, при этом используется только первые шесть символов.
В январе 2026 года специалисты японской компании IIJ зафиксировали новую модификацию вредоносной программы PlugX, применяемой в целевых атаках. Анализ показал возможную связь кампании с группировкой UNC6384, которую связывают с китайскими кибершпионскими операциями. UNC6384 считают близкой к Mustang Panda и известной атаками на государственные структуры стран Юго-Восточной Азии, включая дипломатические представительства.
Новая версия распространяется через исполняемый файл «Browser_Updater.exe», маскирующийся под обновление браузера. После запуска программа отображает фальшивое окно установки, однако заражение происходит независимо от действий пользователя. С удалённого сервера загружается MSI-файл, который устанавливает компоненты вредоноса в каталог %LOCALAPPDATA%\pZhozR и запускает легитимный «Avk.exe» из состава антивируса G DATA. Далее применяется техника подмены библиотек: через DLL Sideloading загружается вредоносная «Avk.dll», инициирующая выполнение основного кода.
Разработчики использовали API Hashing для динамического разрешения системных функций, включая NtCreateFile и NtReadFile. Зашифрованный shell-код хранится в файле «AVKTray.dat» и расшифровывается в памяти, после чего активируется основная нагрузка PlugX. Такой подход усложняет статический анализ и снижает вероятность обнаружения.
Конфигурация вредоноса размещена в секции .data и зашифрована с применением RC4. В отличие от образцов, обнаруженных до декабря 2025 года, новая версия дополнительно кодирует параметры перед шифрованием. Ключ RC4 формируется из строки VOphJokPpbbQ, при этом используется только первые шесть символов.