Ваш браузер врет вам. Как хакеры подменяют ответы интернета, чтобы заразить ваш компьютер
NewsMakerЭта атака не ломает сайты — она незаметно меняет дорогу к ним, и вы даже не понимаете, когда всё пошло не так.
Китайская хакерская группировка Evasive Panda (Bronze Highland, Daggerfly, StormBamboo) провела одну из самых сложных и продолжительных киберкампаний последних лет, на протяжении почти двух лет незаметно заражая системы своих жертв и удерживая над ними контроль. Новое исследование Лаборатории Касперского показывает, что атаки шли с ноября 2022 года по ноябрь 2024-го и отличались высоким уровнем точности, скрытности и технической изощрённости.
Основной упор злоумышленники сделали на так называемые MitM- атаки (Man-in-the-Middle), когда вредоносный код доставляется жертве под видом легитимного обновления доверенного приложения. В ходе кампании хакеры подменяли обновления популярных программ, включая стриминговые сервисы, и незаметно внедряли загрузчики вредоносного ПО. В ряде случаев атака, по всей видимости, опиралась на подмену DNS-ответов , из-за чего системы жертв обращались не к настоящим серверам обновлений, а к инфраструктуре злоумышленников.
Для заражения использовались поддельные обновления таких популярных приложений, как SohuVA и iQIYI Video, а также утилит и мессенджеров, установленных на миллионах компьютеров. Вредоносный код аккуратно размещался прямо в папках легальных программ и запускался их собственными сервисами, что позволяло ему долгое время оставаться незамеченным.
Ключевой особенностью кампании стал новый загрузчик, созданный таким образом, чтобы максимально затруднить анализ и обнаружение. Он использует многоступенчатую схему, при которой части вредоносной нагрузки хранятся в зашифрованном виде и подгружаются только при выполнении определённых условий. Конфигурация, строки и даже имена файлов в коде скрыты с помощью шифрования, а сам вредонос исполняется прямо в памяти системы, не оставляя привычных следов на диске.
Китайская хакерская группировка Evasive Panda (Bronze Highland, Daggerfly, StormBamboo) провела одну из самых сложных и продолжительных киберкампаний последних лет, на протяжении почти двух лет незаметно заражая системы своих жертв и удерживая над ними контроль. Новое исследование Лаборатории Касперского показывает, что атаки шли с ноября 2022 года по ноябрь 2024-го и отличались высоким уровнем точности, скрытности и технической изощрённости.
Основной упор злоумышленники сделали на так называемые MitM- атаки (Man-in-the-Middle), когда вредоносный код доставляется жертве под видом легитимного обновления доверенного приложения. В ходе кампании хакеры подменяли обновления популярных программ, включая стриминговые сервисы, и незаметно внедряли загрузчики вредоносного ПО. В ряде случаев атака, по всей видимости, опиралась на подмену DNS-ответов , из-за чего системы жертв обращались не к настоящим серверам обновлений, а к инфраструктуре злоумышленников.
Для заражения использовались поддельные обновления таких популярных приложений, как SohuVA и iQIYI Video, а также утилит и мессенджеров, установленных на миллионах компьютеров. Вредоносный код аккуратно размещался прямо в папках легальных программ и запускался их собственными сервисами, что позволяло ему долгое время оставаться незамеченным.
Ключевой особенностью кампании стал новый загрузчик, созданный таким образом, чтобы максимально затруднить анализ и обнаружение. Он использует многоступенчатую схему, при которой части вредоносной нагрузки хранятся в зашифрованном виде и подгружаются только при выполнении определённых условий. Конфигурация, строки и даже имена файлов в коде скрыты с помощью шифрования, а сам вредонос исполняется прямо в памяти системы, не оставляя привычных следов на диске.