Ваша экранная заставка – это троянский конь. Рассказываем о новой схеме, которая дает хакерам полный контроль над ПК
NewsMakerНовая фишинговая кампания позволяет хакерам обходить системы защиты по репутации сервисов.
Специалисты ReliaQuest обнаружили новую фишинговую кампанию , где злоумышленники прячут удаленный доступ к системе в самом неожиданном месте, в файлах экранной заставки Windows. Один клик по такому файлу может незаметно установить средство удаленного управления и дать атакующим полный контроль над компьютером, при этом внешне все выглядит как обычная рабочая операция.
Пользователям отправляют письма с деловой легендой и ссылкой на загрузку якобы документа из облачного хранилища. На деле по ссылке лежит файл с расширением .scr . Многие считают такие файлы безобидными заставками, но в Windows это полноценные исполняемые программы. Названия подбирают правдоподобные, вроде «InvoiceDetails.scr» или «ProjectSummary.scr», чтобы снизить подозрения и подтолкнуть к запуску.
После запуска такого файла на компьютер тихо ставится легальное средство удаленного мониторинга и управления. Обычно такие программы используют администраторы для поддержки рабочих станций, поэтому защитные системы часто не считают их вредоносными. В результате злоумышленники получают постоянный удаленный доступ, который маскируется под обычную техническую активность и может долго не вызывать тревоги.
По данным исследователей, атака выстроена так, чтобы обходить защиту по репутации сервисов и адресов. Для размещения файлов используются популярные облачные площадки, а не собственная инфраструктура атакующих. Это усложняет блокировку и замедляет реагирование. Конкретные сервисы и программы могут меняться, но сама схема легко повторяется и масштабируется.
Специалисты ReliaQuest обнаружили новую фишинговую кампанию , где злоумышленники прячут удаленный доступ к системе в самом неожиданном месте, в файлах экранной заставки Windows. Один клик по такому файлу может незаметно установить средство удаленного управления и дать атакующим полный контроль над компьютером, при этом внешне все выглядит как обычная рабочая операция.
Пользователям отправляют письма с деловой легендой и ссылкой на загрузку якобы документа из облачного хранилища. На деле по ссылке лежит файл с расширением .scr . Многие считают такие файлы безобидными заставками, но в Windows это полноценные исполняемые программы. Названия подбирают правдоподобные, вроде «InvoiceDetails.scr» или «ProjectSummary.scr», чтобы снизить подозрения и подтолкнуть к запуску.
После запуска такого файла на компьютер тихо ставится легальное средство удаленного мониторинга и управления. Обычно такие программы используют администраторы для поддержки рабочих станций, поэтому защитные системы часто не считают их вредоносными. В результате злоумышленники получают постоянный удаленный доступ, который маскируется под обычную техническую активность и может долго не вызывать тревоги.
По данным исследователей, атака выстроена так, чтобы обходить защиту по репутации сервисов и адресов. Для размещения файлов используются популярные облачные площадки, а не собственная инфраструктура атакующих. Это усложняет блокировку и замедляет реагирование. Конкретные сервисы и программы могут меняться, но сама схема легко повторяется и масштабируется.