Вирус, который вежливее системного администратора. Исследователи описали новый вредоносный набор, которого ещё нет в VirusTotal
NewsMakerНовый вредоносный софт маскируется под папки и обходит защиту Windows.
Новый вредоносный набор под названием CTRL маскируется под обычную папку с закрытым ключом, а после запуска незаметно превращает компьютер жертвы в удобную точку входа для удалённого контроля. Специалисты Censys ARC описали цепочку, в которой одна вредоносная ссылка в формате LNK запускает сразу несколько функций: кражу учётных данных, перехват нажатий клавиш, захват сеансов удалённого рабочего стола и создание скрытого канала связи с сервером злоумышленника.
В открытом каталоге специалисты нашли три исполняемых файла на платформе .NET, собранных как единый комплект. На момент подготовки отчёта образцы отсутствовали в VirusTotal, Hybrid Analysis и открытых сводках по киберугрозам, поэтому речь идёт о ранее не описанном инструменте, который, похоже, не успел широко разойтись.
Заражение начинается с файла Private Key #kfxm7p9q_yek.lnk. Ярлык оформлен как папка, поэтому пользователь видит привычный значок каталога и может не заметить подвоха. Внутри ярлыка спрятана длинная команда PowerShell с несколькими слоями кодирования. После запуска команда распаковывает следующий модуль, записывает полезную нагрузку в системный реестр под видом обычных параметров проводника Windows и запускает код прямо из памяти. Такой подход помогает обойти часть защитных механизмов и усложняет разбор атаки.
Новый вредоносный набор под названием CTRL маскируется под обычную папку с закрытым ключом, а после запуска незаметно превращает компьютер жертвы в удобную точку входа для удалённого контроля. Специалисты Censys ARC описали цепочку, в которой одна вредоносная ссылка в формате LNK запускает сразу несколько функций: кражу учётных данных, перехват нажатий клавиш, захват сеансов удалённого рабочего стола и создание скрытого канала связи с сервером злоумышленника.
В открытом каталоге специалисты нашли три исполняемых файла на платформе .NET, собранных как единый комплект. На момент подготовки отчёта образцы отсутствовали в VirusTotal, Hybrid Analysis и открытых сводках по киберугрозам, поэтому речь идёт о ранее не описанном инструменте, который, похоже, не успел широко разойтись.
Заражение начинается с файла Private Key #kfxm7p9q_yek.lnk. Ярлык оформлен как папка, поэтому пользователь видит привычный значок каталога и может не заметить подвоха. Внутри ярлыка спрятана длинная команда PowerShell с несколькими слоями кодирования. После запуска команда распаковывает следующий модуль, записывает полезную нагрузку в системный реестр под видом обычных параметров проводника Windows и запускает код прямо из памяти. Такой подход помогает обойти часть защитных механизмов и усложняет разбор атаки.