Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла

Татьяна Никитина 08 Июня 2022 - 09:01
...
Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла

Исследователи из HP зафиксировали спам-рассылки, нацеленные на засев троянского загрузчика, которому было присвоено кодовое имя SVCReady. Зловред примечателен тем, что его цепочка заражения включает шелл-код, спрятанный в свойствах вложенного файла.

Текущую вредоносную кампанию эксперты наблюдают с конца апреля. По их словам, новоявленный троян находится на раннем этапе разработки и в течение прошлого месяца обновлялся несколько раз.

Распространяемые в спаме документы Microsoft Office (преимущественно Word) содержат вредоносный VBA-макрос. Тестирование показало, что при активации он ведет себя необычно — вместо того, чтобы с помощью PowerShell или MSHTA загрузить с удаленного сервера следующий пейлоад, он запускает шелл-код, вставленный в свойства файла в виде NOP-инструкций.

 

С таким нововведением HP уже сталкивалась, но только раз — в ходе апрельской спам-кампании, нацеленной на распространение банкера Ursnif, он же Gozi, Rovnix и Papras.

Загрузка шелл-кода, выводящего на старт SVCReady, производится с учетом архитектуры атакуемой системы — 32 или 64 бит.

 

При выполнении этот фрагмент кода загружает DLL в папку %TEMP%, затем копирует туда же rundll32.exe из системного каталога Windows. Копия Rundll32 переименовывается и запускается на исполнение с DLL и именем функции в качестве аргументов.

Стартовавший с помощью Rundll32 вредонос работает как даунлоудер, способный обеспечить запуск загружаемых файлов. На настоящий момент он также умеет совершать следующие действия:

  • собирать информацию о зараженной системе;
  • выходить на связь с центром управления (в ожидании команд сообщает свой статус каждые пять минут);
  • фиксировать наличие виртуального окружения;
  • уходить на полчаса в состояние сна;
  • выполнять шелл-команды;
  • делать скриншоты;
  • пересчитывать подключенные USB-устройства.

Чтобы обеспечить себе постоянное присутствие в системе, SVCReady создает запланированное задание. Из доставляемой с его помощью полезной нагрузки в HP зафиксировали только RedLine (26 апреля — по всей видимости, проба пера).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft в октябре прекратит поддержку Office в Windows 10
Екатерина Быстрова 16 Января 2025 - 09:32
Windows Домашние пользователиКорпорации Microsoft
Microsoft в октябре прекратит поддержку Office в Windows 10

Microsoft планирует отказаться от поддержки приложений из офисного пакета Office в Windows 10. Срок жизни Word, Excel, PowerPoint и прочих подойдёт к концу вместе с поддержкой самой версии ОС — 14 октября.

О решении корпорация сообщила пользователям в официальном блоге. В частности, там говорится следующее:

«Приложения Microsoft 365 не будут поддерживаться на устройствах с Windows 10 после 14 октября 2025 года. Чтобы продолжать использовать офисные приложения, вам придётся обновиться до Windows 11».

То же самое касается автономных версий Office 2024, Office 2021, Office 2019 и Office 2016. Однако издание The Verge уточнило, что офисный софт в целом продолжит работу на Windows 10, но при этом пользователи будут сталкиваться с багами и другими проблемами.

«Несмотря на то что программами можно будет продолжать пользоваться, мы настоятельно рекомендуем обновиться до Windows 11, чтобы избавиться от проблем с надёжностью и производительностью», — объясняет Microsoft.

В начале месяца ESET также склоняли пользователей к обновлению до Windows 11 и отказу от Windows 10. По словам специалистов словацкой антивирусной компании, юзеров ждёт фиаско, если они будут игнорировать переход со старой версии ОС.

В этом контексте интересно вспомнить данные StatCounter, которые говорят о том, что почти 63% юзеров предпочитают Windows 10, а Windows 11 была установлена на 34% компьютеров (данные за декабрь).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В шпионских атаках Lazarus на атомщиков засветился новый бэкдор
Новость
В шпионских атаках Lazarus на атомщиков засветился новый бэк...
В мессенджер Signal для Windows добавили поддержку Arm64
Новость
В мессенджер Signal для Windows добавили поддержку Arm64
МУЛЬТИФАКТОР стала лицензиатом ФСТЭК России
Новость
МУЛЬТИФАКТОР стала лицензиатом ФСТЭК России

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.