Помощник
Здравствуйте, гость ( Авторизация | Регистрация )
28.01.2019 - 12:16
Сообщение
#1
|
|
![]() Уже не экспат ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Текущее настроение: ![]() Вст. ник | Цитата Группа: Легенда Сообщений: 14011 Регистрация: 14.06.2011 Пользователь №: 46131 Из: Везде Награды: 33 Подарки: 269 Пол: М Репутация: 2827
|
GandCrab Ransomware и вирус Ursnif распространяются с помощью макросов MS Word ![]() Исследователи в области безопасности обнаружили две вредоносные кампании, одна из которых распространяет троян Ursnif предназначенный для кражи данных и распространяет вымогатель GandCrab, тогда как вторая заражает жертв вредоносным ПО Ursnif. Хотя обе вредоносные кампании, по-видимому, являются работой двух отдельных групп киберпреступников, мы обнаруживаем в них много общего. Обе атаки начинаются с фишинговых писем, содержащих прикрепленный документ Microsoft Word, в который встроены вредоносные макросы, и затем используют Powershell для доставки вредоносных программ без файлов. Ursnif — это вредоносное ПО для кражи данных, которое, как правило, крадет конфиденциальную информацию со скомпрометированных компьютеров с возможностью сбора банковских учетных данных, осуществляет сбор нажатий клавиш, информации о системе и процессах и обеспечивает возможность развертывания дополнительных бэкдоров. Обнаруженный ранее в прошлом году, GandCrab представляет собой широко распространенную угрозу вымогателей, которая, как и любая другая программа-вымогатель на рынке, шифрует файлы в зараженной системе и настаивает на том, чтобы жертвы платили выкуп в цифровой валюте, чтобы разблокировать их. Его разработчики запрашивают платежи в основном в DASH, которые сложнее отслеживать. MS Docs + VBS макросы = инфекция Ursnif и GandCrab Первая вредоносная кампания, распространяющая две вредоносные угрозы, была обнаружена исследователями безопасности из Carbon Black, которые обнаружили в дикой природе примерно 180 вариантов документов MS Word, предназначенных для пользователей с вредоносными макросами VBS. В случае успешного выполнения вредоносный макрос VBS запускает сценарий PowerShell, который затем использует ряд методов для загрузки и выполнения Ursnif и GandCrab в целевых системах. ![]() Сценарий PowerShell закодирован в base64, который выполняет следующий этап заражения, который отвечает за загрузку основных вредоносных программ для взлома системы. Первая полезная нагрузка представляет собой однострочную оболочку PowerShell, которая оценивает архитектуру целевой системы и затем соответственно загружает дополнительную полезную нагрузку с веб-сайта Pastebin, который выполняется в памяти, что затрудняет традиционным антивирусным методам обнаружение действий. «Этот скрипт PowerShell является версией модуля Empire Invoke-PSInject с очень небольшим количеством модификаций», — говорят исследователи из Carbon Black. «Сценарий использует встроенный PE [Portable Executable] файл, который был закодирован в base64, и вставит его в текущий процесс PowerShell». Окончательная полезная нагрузка затем устанавливает вариант вымогателя GandCrab в систему жертвы, блокируя ее из своей системы, пока они не заплатят выкуп в цифровой валюте. В то же время вредоносная программа также загружает исполняемый файл Ursnif с удаленного сервера и после запуска проверяет систему, отслеживает трафик веб-браузера для сбора данных, а затем отправляет его на сервер (C & C) злоумышленников. Многочисленные варианты Ursnif были размещены на сайте bevendbrec [.] com во время этой кампании. Carbon Black удалось обнаружить приблизительно 120 различных вариантов Ursnif, которые размещались на доменах iscondisth [.] com и bevendbrec [.] com. MS Docs + VBS макросы = вредоносная программа для кражи данных Аналогично, вторая вредоносная кампания, обнаруженная исследователями безопасности в Cisco Talos, использует документ Microsoft Word, содержащий вредоносный макрос VBA, для доставки другого варианта того же вредоносного ПО Ursnif. ![]() Эта вредоносная атака также ставит под угрозу целевые системы в несколько этапов, начиная от фишинговых писем и заканчивая вредоносными командами PowerShell, чтобы получить постоянство без файлов, а затем загружая и устанавливая компьютерный вирус Ursnif, крадущий данные. «Команда [PowerShell] состоит из трех частей. Первая часть создает функцию, которая позже используется для декодирования PowerShell в кодировке base64. Вторая часть создает байтовый массив, содержащий вредоносную DLL», — пояснили исследователи Talos. «Третья часть выполняет функцию декодирования base64, созданную в первой части, с кодированной строкой base64 в качестве параметра функции. Возвращенная декодированная оболочка PowerShell впоследствии выполняется с помощью сокращенной функции Invoke-Expression (iex)». После запуска на компьютере жертвы вредоносная программа собирает информацию из системы, помещает ее в формат файла CAB и затем отправляет ее на свой командно-контрольный сервер через защищенное соединение HTTPS. Исследователи Talos опубликовали в своем блоге список показателей компрометации (IOC), а также имена файлов полезных данных, сброшенных на скомпрометированных машинах, которые могут помочь вам обнаружить и остановить вредоносное ПО Ursnif до того, как оно заразит вашу сеть. securitylab.ru -------------------- Не говори что мне делать и я не скажу куда тебе идти.
-------------------- Подарки: (Всего подарков: 269 ) |
|
|
|
|
|
|
hook Отключи макросы в Word'е.... 28.01.2019 - 12:16
hook Чем опасны?
Макровирусы – это потенциально нежела... 28.01.2019 - 20:23![]() ![]() |
![]() |
| Текстовая версия | Сейчас: 19.04.2023 - 16:29 |