Gli hacker hanno imparato a nascondere il codice dannoso nel diario degli eventi di Windows

Gli esperti di laboratorio di Kaspersky hanno scoperto e avvertito il pubblico su una campagna insolita dannosa. Come notato in laboratorio, una tale campagna è stata scoperta per la prima volta. Utilizza eventi Windows per archiviare malware. Inoltre, gli aggressori utilizzano una vasta gamma di tecniche, tra cui Silentbreak e Cobaltstrike, strumenti legali per i test per la penetrazione. Inoltre, la catena di infezione include un intero set di moduli ausiliari, incluso GO. Sono usati per rendere difficile rilevare i troyani dell'ultimo passaggio.

In precedenza, gli esperti dell'azienda non hanno soddisfatto la tecnica di nascondere il codice dannoso all'interno degli eventi di Windows. Il modulo scaricato dalla vittima è responsabile dell'infezione primaria del sistema. Alcuni file per aumentare la fiducia in essi sono firmati da un certificato digitale. Questa catena termina con diversi pantaloni contemporaneamente per il controllo remoto dei dispositivi infetti. Differiscono in termini di trasferimento di comandi (canali HTTP o nominati) e persino al loro set. Alcune versioni di Troyanov hanno dozzine di tali squadre.

Denis Leggo, leader di esperto di sicurezza informatica di Kaspersky Laboratory, ha notato:

Oltre a utilizzare due strumenti commerciali e un gran numero di moduli contemporaneamente, eravamo molto interessati al fatto di archiviare un codice shell crittografato nel diario degli eventi di Windows. Tale tecnica per nascondere la presenza di dannoso nel sistema potrebbe essere aggiunta alla matrice Mitre.