События

Хакерская группировка FIN7 освоила новые техники заражения вредоносным ПО

Хакерская группировка FIN7 добавила в свой арсенал новые техники доставки и обфускации вредоносного ПО, сообщают исследователи безопасности из компании ICEBRG.

С начала 2017 года FIN7, известная также как Anunak и Carbanak, начала распространять вредоносное ПО через файлы LNK, встроенные в документы Word, используя OLE-технологию (Object Linking and Embedding). В ходе атак использовался метод беcфайлового заражения, при котором файлы не записываются на диск.

Теперь хакеры переключились на использование файлов CMD вместо LNK, пытаясь, скорее всего, избежать обнаружения. CMD-файл вписывает скрипт JScript в документ «tt.txt» и помещает его в домашней папке текущего пользователя.

Затем скрипт копирует себя в «pp.txt» в той же папке, после чего запускает WScript, используя механизм JScript в файле. Код JScript затем считывает из файла «pp.txt» все данные после первого символа для каждой строки, пропуская только код самого CMD в первых четырех строках. Также как и в случае с файлами LNK, использование встроенных CMD-файлов с помощью OLE приводит к выполнению кода на устройстве жертвы.

Исследователи также выявили серию изменений в методе обфускации эксклюзивного бэкдора HALFBAKED, который в течение прошлого года был неоднократно модифицирован. До сих пор в HALFBAKED использовалась кодировка base64, хранящаяся в переменной массива строк, под названием «srcTxt». Теперь название обфусцируется, а сама строка разбивается на несколько строк внутри массива.

Помимо этого, бэкдор теперь включает встроенную команду «getNK2», предназначенную для извлечения списка автозаполнения в почтовом клиенте Microsoft Outlook. По всей видимости, команда названа по аналогии с файлом NK2, содержащим список автозаполнения в Microsoft Outlook 2007 и 2010. Это может указывать на желание злоумышленников получить новые объекты для фишинговых рассылок в целевой организации, отмечают исследователи.

Ранее хакерской группировке FIN7 удалось похитить более 1 млрд рублей у банковских организаций и платежных систем в России и в странах постсоветского пространства.

JScript - скриптовый язык программирования компании Microsoft, являющийся реализацией стандарта ECMAScript.

Wscript.exe - исполняемый файл для Windows с графическим интерфейсом.

OLE - технология связывания и внедрения объектов в другие документы и объекты, разработанная компанией Microsoft.

Источник

Автор: Сергей Куприянов
10.10.2017 (15:06)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.