Cyberprzestępcy przygotowali złośliwe ładunki za pomocą Microsoft Build Engine – platformy programistycznej o otwartym kodzie źródłowymi. Szkodniki umieszczono w środku pliku konfiguracyjnego XML. Celem było uruchomienie trojanów Remcos RAT lub RedLine Stealer. Zagrożenie odkryli badacze z Anomali Threat Research.

Cyberprzestępcy zapoczątkowali atak w ubiegłym miesiącu i byli aktywni jeszcze we wtorek, dwa dni przed ujawnieniem kampanii przez Anomali Threat Research.

Po zainstalowaniu trojana RAT w systemie docelowym, może on być wykorzystany do zbierania poświadczeń, migawek ekranu, rejestrowania naciśnięć klawiszy czy wyłączania antywirusa chroniącego przed złośliwym oprogramowaniem. Z kolei RedLine szuka m.in. VPN i komunikatorów, aby przechwycić dane uwierzytelniające.

Korzystanie przez cyberprzestępców z MSBuild Microsoftu jest wyjątkowo niebezpieczne, ponieważ złośliwe pliki są ładowane bezpośredniego do pamięci atakowanego komputera.

Bezplikowe szkodliwe oprogramowanie nie zapisuje plików na urządzeniach ofiar, a na dyskach twardych zainfekowanych urządzeń nie pozostawia fizycznych śladów po złośliwych ładunkach. Nie wszystkie programy antywirusowe radzą sobie z wykrywaniem tego typu zagrożeń” – tłumaczy Mariusz Politowicz z Marken, dystrybutora Bitdefender w Polsce.

Według VirusTotal próbki złośliwego oprogramowania użyte w kampanii ujawnionej przez Anomali Threat Research nie są wykrywane, albo odnajdują je nieliczne silniki chroniące przed złośliwym oprogramowaniem.

Jak wynika z raportu WatchGuard Internet Security opublikowanego pod koniec marca, dostawa bezplikowego szkodliwego oprogramowania wzrosły o 888 proc. w latach 2019-2020.