Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла

Татьяна Никитина 08 Июня 2022 - 09:01
...
Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла

Исследователи из HP зафиксировали спам-рассылки, нацеленные на засев троянского загрузчика, которому было присвоено кодовое имя SVCReady. Зловред примечателен тем, что его цепочка заражения включает шелл-код, спрятанный в свойствах вложенного файла.

Текущую вредоносную кампанию эксперты наблюдают с конца апреля. По их словам, новоявленный троян находится на раннем этапе разработки и в течение прошлого месяца обновлялся несколько раз.

Распространяемые в спаме документы Microsoft Office (преимущественно Word) содержат вредоносный VBA-макрос. Тестирование показало, что при активации он ведет себя необычно — вместо того, чтобы с помощью PowerShell или MSHTA загрузить с удаленного сервера следующий пейлоад, он запускает шелл-код, вставленный в свойства файла в виде NOP-инструкций.

 

С таким нововведением HP уже сталкивалась, но только раз — в ходе апрельской спам-кампании, нацеленной на распространение банкера Ursnif, он же Gozi, Rovnix и Papras.

Загрузка шелл-кода, выводящего на старт SVCReady, производится с учетом архитектуры атакуемой системы — 32 или 64 бит.

 

При выполнении этот фрагмент кода загружает DLL в папку %TEMP%, затем копирует туда же rundll32.exe из системного каталога Windows. Копия Rundll32 переименовывается и запускается на исполнение с DLL и именем функции в качестве аргументов.

Стартовавший с помощью Rundll32 вредонос работает как даунлоудер, способный обеспечить запуск загружаемых файлов. На настоящий момент он также умеет совершать следующие действия:

  • собирать информацию о зараженной системе;
  • выходить на связь с центром управления (в ожидании команд сообщает свой статус каждые пять минут);
  • фиксировать наличие виртуального окружения;
  • уходить на полчаса в состояние сна;
  • выполнять шелл-команды;
  • делать скриншоты;
  • пересчитывать подключенные USB-устройства.

Чтобы обеспечить себе постоянное присутствие в системе, SVCReady создает запланированное задание. Из доставляемой с его помощью полезной нагрузки в HP зафиксировали только RedLine (26 апреля — по всей видимости, проба пера).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Госдума приняла в первом чтении законопроект о периоде охлаждения
Яков Шпунт 15 Января 2025 - 18:38
Соответствие законодательству РФ Домашние пользователиГосударство Защита от мошенничестваБезопасность платежей
Госдума приняла в первом чтении законопроект о периоде охлаждения

Госдума 15 января приняла в первом чтении законопроект, предусматривающий введение так называемого «периода охлаждения» перед выдачей потребительского кредита.

Идею о введении «периода охлаждения» озвучил президент Владимир Путин во время «прямой линии» 19 декабря 2024 года.

Эта мера была предложена как способ борьбы с мошенничеством, при котором злоумышленники берут кредиты от имени жертв или вынуждают потерпевших переводить им как собственные, так и заемные средства.

Законопроект был внесен в Госдуму группой депутатов и сенаторов во главе с Анатолием Аксаковым. Документ обязывает банки и микрофинансовые организации (МФО) выдавать потребительские кредиты с отсрочкой: не менее 4 часов для займов от 50 до 200 тысяч рублей и не менее 48 часов для сумм, превышающих 200 тысяч рублей.

Кроме того, законопроект ужесточает правила пополнения токенизированных карт. Если сумма пополнения наличными превышает 50 тысяч рублей, деньги зачисляются на счет только через 48 часов.

Такую меру давно предлагал Банк России для противодействия увеличившемуся числу случаев мошенничества с использованием токенизированных карт.

В пояснительной записке к законопроекту указано, что введение «периода охлаждения» должно дать человеку время обдумать свои действия и избежать поспешных решений под влиянием мошенников.

Пресс-служба Госдумы сообщила, что законопроект был принят в первом чтении 15 января 2025 года. Этот документ относится к числу приоритетных для нижней палаты парламента. Как заявил спикер Госдумы Вячеслав Володин, окончательное рассмотрение законопроекта завершится до конца января.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Российские госкомпании продолжают покупать продукты Microsoft в обход
Новость
Российские госкомпании продолжают покупать продукты Microsof...
Россияне определили идеального голосового помощника
Новость
Россияне определили идеального голосового помощника
Игровой движок Godot использовался для заражения 17 000 компьютеров
Новость
Игровой движок Godot использовался для заражения 17 000 комп...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.