McAfee зафиксировала всплеск активности вредоноса Faceliker

McAfee зафиксировала всплеск активности вредоноса Faceliker

McAfee зафиксировала всплеск активности вредоноса Faceliker

McAfee сообщает о внезапном всплеске активности вредоноса Faceliker, манипулирующего браузерами пользователей с целью продвигать интересуемый злоумышленников контент в социальных сетях с помощью лайков.

Вредоносная программа Faceliker была обнаружена несколько лет назад, она использует код JavaScript для реализации кликджекинга и простановки лайков тем публикациям на Facebook, на которые укажет командный сервер.

Обычно Faceliker скрывается в расширениях для Chrome. Пользователи заманиваются на страницы, рекламирующие эти вредоносные расширения при помощи спама.

McAfee заявляет, что во втором квартале 2017 года был обнаружен рост обнаружений Faceliker. Согласно их статистике, Faceliker составляет почти 8,9% от 52 миллионов новых образцов вредоносных программ, обнаруженных во втором квартале 2017 года.

Большинство современных вредоносов подобного типа оснащены возможностью кражи паролей, продвижения контента в других сетях или вставки рекламы и всплывающих окон поверх легитимных страниц.

Стоит помнить, что Facebook предоставляет журнал активности для всех учетных записей. Если вы заподозрили наличие Faceliker у себя на компьютере, первым делом проверьте расширения браузера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Windows-троян I2PRAT умело скрывает свое общение с C2-сервером

Эксперты G DATA опубликовали результаты анализа трояна удаленного доступа, которого от собратьев отличает использование анонимной сети I2P для C2-коммуникаций. Поскольку подобная маскировка большая редкость, находке было присвоено имя I2PRAT.

Как выяснилось, заточенный под Windows вредонос активен в интернете как минимум с марта этого года. Для его доставки может использоваться загрузчик PrivateLoader.

Атака начинается со спам-письма с вредоносной ссылкой. При переходе открывается фейковая страница с CAPTCHA и встроенным JavaScript — последнее время этот способ заражения набирает популярность.

 

В результате отработки скрипта в систему загружается лоадер. При активации он определяет, с какими привилегиями запущен процесс; если их недостаточно, уровень повышается до админа с использованием PoC-обхода UAC, разработанного в 2019 году участником Google Project Zero.

Вредонос также пытается нейтрализовать Microsoft Defender — отключить основные функции, заблокировать телеметрию и апдейты.

Инсталлятор RAT грузится в папку временных файлов и запускается на исполнение. Под компоненты трояна создается скрытая директория.

Основной модуль, main.exe, прописывается в системе как сервис. При активации он проверяет наличие обновлений в своей папке и приступает к загрузке плагинов (DLL) и запуску с помощью unit_init.

Два таких компонента отвечают за C2-связь. Один из них представляет собой I2PD, опенсорсный вариант клиента I2P, написанный на C++.

Остальные плагины используются для загрузки и эксфильтрации файлов, обеспечения поддержки RDP (в Windows Home, например, она отсутствует), добавления и удаления пользовательских аккаунтов и групп, диспетчеризации событий, создания запланированных задач.

Из последних обнаружены две: coomgr.exe ворует учетки из Google Chrome, sesctl.exe завершает сеансы указанных пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru