Новости Картинки PNG - новый способ доставки троянов на компьютеры организаций

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Remcos нашел метод распространения через скрытный загрузчик IDAT Loader.


rq2ymjmdhjiqu0i6vmq5g1tbb0zkjkn6.jpg


Согласно Для просмотра ссылки Войди или Зарегистрируйся Morphisec, украинские организации, базирующиеся в Финляндии, стали объектами вредоносной кампании по распространению трояна Remcos RAT . Атака была приписана группировке UAC-0184.

Троян удаленного доступа Remcos RAT (Remote Access Trojan, RAT) доставляется с помощью загрузчика IDAT Loader. Фишинговая кампания предполагает использование приманок на военную тематику в качестве отправной точки для запуска цепочки заражения, приводящей к развертыванию IDAT Loader, который, в свою очередь, использует встроенный алгоритм стеганографии PNG-изображений, чтобы найти и извлечь Remcos RAT. Remcos RAT позволяет злоумышленнику контролировать заражённый компьютер, похищать личную информацию и наблюдать за действиями жертвы.


57eldmkiviiyyf8f21dvg5d9l1n3zdjk.png


Цепочка заражения Remcos RAT

В ходе атаки использовались фишинговые письма, маскируясь под сообщения от Израильских оборонных сил, и применяла сложные методы доставки вредоносного ПО, включая динамическую загрузку функций Windows API, проверки подключения к интернету и обход списков блокировки процессов.

IDAT Loader, отличающийся модульной архитектурой и уникальными от других загрузчиков функциями, в том числе функцией инъекции кода, ранее был использован для распространения семейств вредоносных программ DanaBot , SystemBC и RedLine Stealer. В обнаруженной кампании модули IDAT были встроены непосредственно в исполняемый файл, что является отличительной чертой от обычной практики скачивания с удалённого сервера.

В исследовании также рассматриваются техники защиты от обнаружения с использованием стеганографии и Module Stomping - техники, позволяющей вредоносному коду уклоняться от обнаружения антивирусными решениями за счёт инъекции в легитимные библиотеки.

IDAT Loader пересекается с другим семейством загрузчиков под названием HijackLoader, который Для просмотра ссылки Войди или Зарегистрируйся и позволяет доставлять полезные нагрузки DanaBot, SystemBC и RedLine Stealer. Несмотря на отсутствие продвинутых функций, загрузчик использует модульную архитектуру для инъекции и выполнения кода, что является редкостью для большинства загрузчиков.
 
Источник новости
www.securitylab.ru

Похожие темы