Platforma Microsoftu dostarczała złośliwe oprogramowanie
Cyberprzestępcy za pomocą Microsoft Build Engine (MSBuild) skompilowali złośliwy kod na maszynach ofiar.
Napastnicy wykorzystali do ataku trudny do wykrycia przez systemy bezpieczeństwa malware bezplikowy.
Cyberprzestępcy przygotowali złośliwe ładunki za pomocą Microsoft Build Engine – platformy programistycznej o otwartym kodzie źródłowymi. Szkodniki umieszczono w środku pliku konfiguracyjnego XML. Celem było uruchomienie trojanów Remcos RAT lub RedLine Stealer. Zagrożenie odkryli badacze z Anomali Threat Research.
Cyberprzestępcy zapoczątkowali atak w ubiegłym miesiącu i byli aktywni jeszcze we wtorek, dwa dni przed ujawnieniem kampanii przez Anomali Threat Research.
Po zainstalowaniu trojana RAT w systemie docelowym, może on być wykorzystany do zbierania poświadczeń, migawek ekranu, rejestrowania naciśnięć klawiszy czy wyłączania antywirusa chroniącego przed złośliwym oprogramowaniem. Z kolei RedLine szuka m.in. VPN i komunikatorów, aby przechwycić dane uwierzytelniające.
Korzystanie przez cyberprzestępców z MSBuild Microsoftu jest wyjątkowo niebezpieczne, ponieważ złośliwe pliki są ładowane bezpośredniego do pamięci atakowanego komputera.
„Bezplikowe szkodliwe oprogramowanie nie zapisuje plików na urządzeniach ofiar, a na dyskach twardych zainfekowanych urządzeń nie pozostawia fizycznych śladów po złośliwych ładunkach. Nie wszystkie programy antywirusowe radzą sobie z wykrywaniem tego typu zagrożeń” – tłumaczy Mariusz Politowicz z Marken, dystrybutora Bitdefender w Polsce.
Według VirusTotal próbki złośliwego oprogramowania użyte w kampanii ujawnionej przez Anomali Threat Research nie są wykrywane, albo odnajdują je nieliczne silniki chroniące przed złośliwym oprogramowaniem.
Jak wynika z raportu WatchGuard Internet Security opublikowanego pod koniec marca, dostawa bezplikowego szkodliwego oprogramowania wzrosły o 888 proc. w latach 2019-2020.
Podobne aktualności
Wydatki na infrastrukturę chmurową wzrosną o 20 proc. w 2024 r.
„W miarę ewolucji sztucznej inteligencji dostawcy rozwiązań badają możliwości integracji, wykraczające poza oferty vendorów" - twierdzi ekspert.
Rosyjscy hakerzy włamali się na konta dyrektorów Microsoftu
Inne firmy również były celem tej samej grupy - twierdzi koncern.
Usunięcie Altmana z OpenAI wstrząśnie branżą GenAI
„Szokująca wiadomość uwypukliła coraz głębszy rozłam" - komentuje ekspert.