HimeraSearchDB
Carding_EbayThief
triada
CrackerTuch
BMIX

Хакерская группировка FIN7 освоила новые техники заражения вредоносным ПО

Tihon74
Оффлайн

Tihon74

Заблокирован
Регистрация
25.06.17
Сообщения
2.588
Реакции
71
Репутация
157
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.

Хакеры переключились на использование файлов CMD и усовершенствовали свой бэкдор HALFBAKED.

Хакерская группировка FIN7 добавила в свой арсенал новые техники доставки и обфускации вредоносного ПО, сообщают исследователи безопасности из компании ICEBRG.

С начала 2017 года FIN7, известная также как Anunak и Carbanak, начала распространять вредоносное ПО через файлы LNK, встроенные в документы Word, используя OLE-технологию (Object Linking and Embedding). В ходе атак использовался метод беcфайлового заражения, при котором файлы не записываются на диск.

Теперь хакеры переключились на использование файлов CMD вместо LNK, пытаясь, скорее всего, избежать обнаружения. CMD-файл вписывает скрипт JScript в документ «tt.txt» и помещает его в домашней папке текущего пользователя.

Затем скрипт копирует себя в «pp.txt» в той же папке, после чего запускает WScript, используя механизм JScript в файле. Код JScript затем считывает из файла «pp.txt» все данные после первого символа для каждой строки, пропуская только код самого CMD в первых четырех строках. Также как и в случае с файлами LNK, использование встроенных CMD-файлов с помощью OLE приводит к выполнению кода на устройстве жертвы.

Исследователи также выявили серию изменений в методе обфускации эксклюзивного бэкдора HALFBAKED, который в течение прошлого года был неоднократно модифицирован. До сих пор в HALFBAKED использовалась кодировка base64, хранящаяся в переменной массива строк, под названием «srcTxt». Теперь название обфусцируется, а сама строка разбивается на несколько строк внутри массива.

Помимо этого, бэкдор теперь включает встроенную команду «getNK2», предназначенную для извлечения списка автозаполнения в почтовом клиенте Microsoft Outlook. По всей видимости, команда названа по аналогии с файлом NK2, содержащим список автозаполнения в Microsoft Outlook 2007 и 2010. Это может указывать на желание злоумышленников получить новые объекты для фишинговых рассылок в целевой организации, отмечают исследователи.

Ранее хакерской группировке FIN7 удалось похитить более 1 млрд рублей у банковских организаций и платежных систем в России и в странах постсоветского пространства.

JScript - скриптовый язык программирования компании Microsoft, являющийся реализацией стандарта ECMAScript.

Wscript.exe - исполняемый файл для Windows с графическим интерфейсом.

OLE - технология связывания и внедрения объектов в другие документы и объекты, разработанная компанией Microsoft.
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу