Os hackers aprenderam a esconder o código malicioso no diário de eventos do Windows

Os especialistas em laboratório da Kaspersky descobriram e alertaram o público sobre uma campanha maliciosa incomum. Conforme observado em laboratório, essa campanha foi descoberta pela primeira vez. Ele usa eventos do Windows para armazenar malware. Além disso, os atacantes usam uma ampla gama de técnicas, incluindo Silentbreak e Cobaltstrike, instrumentos legais para testes para penetração. Além disso, a cadeia de infecção inclui um conjunto de módulos auxiliares, incluindo o GO. Eles são usados ​​para dificultar a detecção dos Troyans da última etapa.

Anteriormente, os especialistas da empresa não atendiam à técnica de ocultar o código malicioso nos eventos do Windows. O módulo baixado pela vítima é responsável pela infecção primária do sistema. Alguns arquivos para aumentar a confiança neles são assinados por um certificado digital. Essa cadeia termina com várias calças ao mesmo tempo para controle remoto de dispositivos infectados. Eles diferem na maneira de transferir comandos (HTTP ou canais nomeados) e até mesmo seu conjunto. Algumas versões de Troyanov têm dezenas de tais equipes.

Denis Leggo, especialista em segurança cibernética do Laboratório Kaspersky, observou:

Além de usar duas ferramentas comerciais e um grande número de módulos ao mesmo tempo, estávamos muito interessados ​​no fato de armazenar um código de shell criptografado no diário do Windows Events. Essa técnica para ocultar a presença de maliciosa no sistema pode ser adicionada à matriz Mitre.