Атаки «бесфайловых» зловредов проводят одни и те же хакеры






Две недавние киберкампании с применением «бесфайловых» вредоносных программ удалось связать с конкретной хакерской группировкой, сообщает «Лаборатория Касперского».

Расследование этих целевых атак, проведенное экспертами «Лаборатории Касперского» и Cisco, показало, что в их ходе активно используются работающие из оперативной памяти зловреды и легальные инструменты для пентестинга. Целью этих кампаний является шпионаж и вывод денежных средств с банковских счетов организаций.

Новые атаки начинаются с узконаправленной рассылки писем с вложенным документом Word, который содержит вредоносный макрос. Если получатель, следуя подсказке, включит активное содержимое, макрос запустится и исполнит внедренную PowerShell-команду с помощью WMI-инструментария.

При отработке вредоносный PowerShell-скрипт Updater.ps1 прежде всего открывает бэкдор, а затем начинает выполнять команды, подаваемые с C&C-сервера. Этот агент также отключает режим защищенного просмотра, чтобы в дальнейшем макрос в документах мог исполняться автоматически, без вывода подсказки enable macro, требующей вмешательства пользователя.
Автор: Softodrom.ru
Дата: 19.03.2017


» Оставьте первым свой комментарий


Новости > Безопасность > Атаки «бесфайловых» зловредов проводят одни и те же хакеры
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
Как скрытые майнеры криптовалют попадают на ваш компьютер
«Лаборатория Касперского» рассказала о том, как скрытые майнеры криптовалют попадают на ваш компьютер
Федеральные каналы проигнорировали массовые эвакуации людей по всей России
Звонки и эвакуации по всей России продолжаются с понедельника, но официальной реакции властей нет до сих пор
Хакеры взломали CCleaner и украли данные 2 млн пользователей
Компания-разработчик рекомендует всем пользователям произвести обновление до новейшей версии CCleaner
Microsoft не планирует исправлять уязвимость в браузере Edge
Это уже вторая за неделю уязвимость, которую компания Microsoft публично отказалась исправлять
«ВКонтакте» заблокировали в Индии из-за игры «Синий кит»
Социальная сеть «ВКонтакте» заблокирована в Индии из-за игры «Синий кит»
Новинки раздела Безопасность
Сайт, распознающий лица, вычислил участников митинга Навального
Символом протестных движений в мире стал Аноним в маске Гая Фокса, но на практике ни о какой анонимности на уличных акциях речи быть не может
Пуск ракеты по зрителям на учениях «Запад-2017» объяснили техническим сбоем
Если будет доказано, что инцидент произошел в результате сбоя в системе вооружения, то виновные, скорее всего, не будут установлены
Польша заподозрила Россию в применении ядерного оружия на учениях «Запад-2017»
В свою очередь президент Литвы Даля Грибаускайте заявила, что Москва во время российско-белорусских учений «Запад-2017» отрабатывает «сценарии нападения на соседние страны»
Хакеры майнят криптовалюту через браузеры российских пользователей
65,29% отраженных атак нового веб-майнера приходится на Россию, 21,95% на Украину и 6,49% на Беларусь
Хакеры взломали CCleaner и украли данные 2 млн пользователей
Компания-разработчик рекомендует всем пользователям произвести обновление до новейшей версии CCleaner
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».