×

Чужой среди своих: неуловимый PowerShell-бэкдор маскируется под обновление Windows

Чужой среди своих: неуловимый PowerShell-бэкдор маскируется под обновление Windows

За разработкой бэкдора стоит неизвестная, но крайне подготовленная группировка.

Ранее нигде не упоминавшийся обнаружили эксперты из компании SafeBreach. Вредонос крайне скрытный, так как маскируется под процесс обновления Windows.

По словам Томера Бара, руководителя команды исследователей в SafeBreach, за незаметным вредоносом и его C&C-инфраструктурой стоит крайне хорошо подготовленная группировка, которая уже атаковала около 100 жертв.

Цепочка атак неизвестной группировки начинается с Word-документа ( VirusTotal ), который 25 августа 2022 года был выгружен в сеть из Иордании. Метаданные документа говорят о том, что хакеры нацелены в первую очередь на пользователей LinkedIn.

Если жертва откроет документ, то с помощью вшитого в файл макрокода на ее компьютере выполнится Script1.ps1 )


PowerShell-скрипт нужен для подключения к C&C-серверу и получения команд, которые будут запущены вторым скриптом ( temp.ps1 ).

Однако хакеры допустили ошибку в своем скрипте, с помощью чего исследователи смогли реконструировать команды, отправляемые сервером. Среди них были команды для запуска whoami, перечисления файлов в определенных папках, извлечения списка запущенных процессов и удаления файлов из общих папок пользователей.

Илон Маск обнародовал переписку Twitter с Белым Домом

Из документов следует, что администрация Twitter удаляла твиты пользователей и знаменитостей «по указанию политической партии».

Новое вредоносное ПО Redigo атакует серверы Redis

Злоумышленники внедряют вредоноса, используя критическую RCE-уязвимость.

Роскомнадзор пояснил, относится ли аура человека к биометрическим данным

В ведомстве считают, что согласно действующему законодательству, это в принципе не запрещено.