Новости

Хакеры используют системный калькулятор Windows для заражения трояном Quasar RAT

DLL Sideloading снова демонстрирует своё превосходство над инструментами безопасности.
Троян удалённого доступа с открытым исходным кодом Quasar RAT использует технику DLL Sideloading, чтобы незаметно извлекать данные из заражённых устройств на базе Windows.

По словам исследователей Uptycs, этот метод использует системное доверие, которым данные файлы пользуются в среде Windows. В своём отчёте специалисты подробно описали, как вредоносное ПО эксплуатирует «ctfmon.exe» и «calc.exe» в ходе атаки.

Quasar RAT, также известный как CinaRAT или Yggdrasil, представляет собой легитимный инструмент на базе C# для удалённого администрирования. Он способен собирать информацию о системе, список запущенных приложений, файлы, нажатия клавиш, скриншоты и выполнять произвольные команды оболочки.

Техника DLL Sideloading часто используется киберпреступниками, позволяя им запускать свои собственные полезные нагрузки, подменяя DLL-файлы доверенных программ вредоносными.

В качестве отправной точки атаки Uptycs указывает на ISO-образ, содержащий в себе три файла. При запуске исполняемого файла внутри образа инициируется загрузка библиотеки «MsCtfMonitor.dll», в которой и скрыт вредоносный код.

Скрытый код представляет собой другой исполняемый файл, который внедряется в «Regasm.exe», инструмент регистрации сборки Windows, чтобы запустить следующий этап атаки. Тут уже запускается подлинный файл «calc.exe», то есть системный калькулятор, но с вредоносной DLL-библиотекой. В конечном итоге, именно калькулятор и загружает на компьютер жертвы троян Quasar RAT.

Троян, в свою очередь, устанавливает соединение с удалённым сервером, чтобы регулярно отправлять информацию о заражённой системе. Более того, он даже настраивает обратный прокси-сервер для быстрого доступа к конечной точке.

Пока неясно, кто стоит за этой атакой и какой именно вектор использовался для её инициации, однако исследователи предполагают, что распространение произошло посредством фишинговых писем. Эксперты также напомнили о необходимой бдительности при работе с сомнительными письмами, ссылками или вложениями, ведь именно они чаще всего приводят к заражению компьютеров вредоносным софтом.

Если у вас есть сомнения по поводу «чистоты» вашего компьютера, стоит в обязательно порядке просканировать его любым авторитетным антивирусным решением с последними сигнатурными базами.

Источник: https://www.securitylab.ru/news/542929.php
2023-10-25 11:26 Экспертиза