Выявление вредоносного ПО, маскирующегося под решение для уязвимости Windows
- Обнаружено вредоносное ПО, выдающее себя за решение для критической уязвимости Windows.
- Это ПО крадет важную информацию системы.
- Подобные атаки часто проводят на уровне государств.
Киберпреступники нацелились на исследователей безопасности с помощью поддельных решений, пытаясь заразить их компьютеры вредоносным ПО, крадущим информацию, предупреждают эксперты.
Компания по кибербезопасности Trend Micro обнаружила новую кампанию, в рамках которой злоумышленники публикуют решение для популярной уязвимости, чтобы привлечь внимание специалистов в области кибербезопасности.
Исследователи загружают это решение для анализа и вместо него получают вредоносное ПО.
Кража важной информации
В данном случае злоумышленники рекламировали модификацию легитимного PoC для LDAPNightmare, уязвимость была обнаружена ранее и включала две уязвимости. Уязвимость имеет высокий уровень опасности и позволяет удаленно выполнять код через Windows.
В своем отчете представители Trend Micro сообщили, что обе уязвимости были признаны весьма значительными из-за широкого использования LDAP в среде Windows. Исправление данных уязвимостей было выпущено через обновление, выпущенное в декабре.
В поддельном решении злоумышленники заменили некоторые легитимные файлы исполняемым файлом “poc.exe”, который использует скрипт PowerShell для запуска другого скрипта, ворующего данные с компьютера.
Вот что ворует это вредоносное ПО:
- Информация о ПК
- Список процессов
- Списки каталогов (Загрузки, Последние, Документы и Рабочий стол)
- IP-адреса сетей
- Сетевые адаптеры
- Установленные обновления
Подобные атаки не являются новыми. Злоумышленники неоднократно применяли такие же тактики в прошлом. Эти атаки часто связаны с государственными структурами, которые пытаются получить важные сведения о кибербезопасности крупных технологических компаний и других организаций.
Источник: TechRadar
