Кіберзлочинці збільшили поширення шкідливих програм, використовуючи менш відомі типи архівів

15:34
Кіберзлочинці збільшили поширення шкідливих програм, використовуючи менш відомі типи архівів

 Кіберзлочинці збільшують поширення повідомлень, які вікористовують маловідомі формати архівів. Такі фішингові повідомлення електронної пошти мають добре продумане тіло, що містить логотип підприємства і посилання на відому компанію: зловмисники зловживають її міжнародною репутацією, щоб заманити жертву і підштовхнути відкрити вбудоване вкладення.

Звичайно, наявність ISO-файла в якості вкладення є підозрілим, але для недосвідченого користувача це може залишитися непоміченим, в тому числі завдяки новим версіями Windows, які спочатку підтримують тип файлу.
   Розпакований образ ISO, запускає EXE-файл з ім'ям «po-ima0948436.exe». Судячи з першої отриманої інформації, зокрема, підписи «BobSoft Mini Delphi», він, схоже, упакований добре відомим пакувальником Delphi. Згідно FireEye, цей пакувальник вже використовується різними шкідливими програмами, такими як Pony, IRStealer, Nanocore, Netwire, Remcos, nJRAT.

 Шкідлива інформація зберігається в розділі ресурсів в зашифрованому вигляді (можливо, з використанням простого XOR-шифрування). Це одна з головних особливостей пакувальника Delphi.

     Проаналізований зразок являє собою класичний інструмент віддаленого адміністрування, який має довгий список можливостей, таких як ведення журналу ключів, віддалений робочий стіл, виконання команд і інші можливості ексфільтраціі. 

  Проте, найцікавішою частиною аналізу, безсумнівно, є первісна оболонка Delphi, яка сповнена просунутих прийомів, які роблять аналіз більш складним. Як згадувалося раніше, цей пакувальник, безсумнівно, є похідним від деякої бібліотеки, яка дозволяє зловмисникові вибирати потрібні йому можливості. Фактично перехоплено безліч інших інфекцій, заснованих на тій же структурі Delphi, але з різними функціями в плані ухилення і шифрування, що свідчить про можливість його настройки.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.