У троянов DanaBot и RedLine появился новый проводник в Windows

У троянов DanaBot и RedLine появился новый проводник в Windows

У троянов DanaBot и RedLine появился новый проводник в Windows

В сетевом андеграунде набирает популярность загрузчик HijackLoader. Проведенный в Zscaler анализ показал, что зловред незамысловат, но использует множество модулей для инъекции и выполнения кода.

С новобранцем эксперты впервые столкнулись в минувшем июле. Как оказалось, он полагается на шелл-код и вооружен средствами самозащиты от обнаружения: использует системные вызовы, мониторит процессы, ассоциируемые с антивирусами (вшитый блок-лист включает более 20 позиций), умеет задерживать свое исполнение на 40 секунд.

От своих собратьев HijackLoader отличается наличием дополнительных модулей, позволяющих выбрать способ внедрения кода, в том числе process hollowing и подмену DLL. При инициализации зловред проверяет наличие финальной полезной нагрузки в бинарнике; ее отсутствие запускает загрузку с внешнего сервера.

Проверка HTTP-связи осуществляется обращением к легитимному сайту (к примеру, mozilla.org). При отрицательном результате вредонос уходит в бесконечный цикл в ожидании подключения к интернету. Чтобы обеспечить себе постоянное присутствие в системе, HijackLoader создает задание BITS, а в папке автозагрузки Windows — LNK-файл.

Качество нового творения вирусописателей, по словам аналитиков, пока оставляет желать лучшего. Каким образом HijackLoader попадает в систему, не установлено. Данные телеметрии Zscaler показали, что в настоящее время новичок используется для загрузки трояна DanaBot, прокси-ботов SystemBC, а также инфостилера RedLine.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый шпионское приложение для Android не даёт удалить себя без пароля

Исследователи наткнулись на очередной пример коммерческого сталкерского софта для Android, который не только мастерски скрывается на устройствах, но и делает процесс удаления почти невозможным, требуя от пользователя специальный пароль.

Приложение маскируется под стандартные системные настройки, скрывая свою иконку на главном экране и используя функции Android, предназначенные для администрирования устройств и наложения окон.

Оно запрашивает разрешение на «наложение окон поверх других приложений», а затем блокирует попытки удаления, выводя всплывающее окно с запросом пароля, который использовался при установке приложения.

 

При попытке деактивировать или удалить программу через системные настройки, жертва сталкивается с запросом пароля. Неправильная комбинация приводит к возврату на главный экран, полностью блокируя доступ к удалению.

Специалисты TechCrunch предлагают перезагрузить устройство в безопасном режиме (safe mode) — в этом случае загружаются только системные приложения, а сторонние (в том числе шпионские) не запускаются. Это позволяет обойти защиту и удалить программу.

  1. Войти в безопасный режим:
    • Зажать кнопку питания до появления меню.
    • Долгое нажатие на кнопку «Выключить» вызовет запрос на перезапуск в безопасном режиме. Подтвердите действие.
    • После перезапуска вы увидите надпись «Safe mode» на экране.
  1. Отключить права администратора устройства:
    • Перейдите в настройки → Безопасность → Администраторы устройства.
    • Найдите неизвестное приложение и отключите его.
  1. Удалить приложение:
    • Откройте настройки → Приложения.
    • Найдите подозрительное приложение (например, «System Settings») и удалите его.
  1. Перезагрузите устройство в обычном режиме.

Удаление подобного софта даст понять злоумышленнику, что приложение больше не работает. Поэтому перед деинсталляцией важно иметь план безопасности — например, сменить пароли, выйти из аккаунтов, изменить код блокировки устройства и убедиться, что у третьих лиц больше нет физического доступа к телефону.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru