Разработчики вредоносного ПО порой прибегают к несколько необычным техникам для уклонения от обнаружения антивирусными решениями или исследователями в области кибербезопасности. Примером тому может служить автор вредоносных семейств XXMM, ShadowWali и Wali, скрывающий вредоносный код в файлах, размеры которых могут варьироваться от 50 МБ до 200 МБ (в основном за счет «мусорных» данных). Это довольно странно, так как обычно размер вредоносного ПО составляет всего несколько КБ.
По мнению некоторых экспертов, создатель XXMM, ShadowWali и Wali (некто под псевдонимом 123) ошибочно полагает, что внедряя вредоносное ПО в большие файлы, сможет избежать проверки защитными решениями, которые не будут их сканировать, считая легитимными приложениями. Согласно другой теории, таким образом 123 стремится избежать обнаружения сканерами компаний, специализирующихся в области кибербезопасности, которые очень часто отслеживают только небольшие файлы размером в несколько КБ.
Первые атаки с использованием бэкдора XXMM, направленные в основном на организации в Японии и Южной Корее, были замечены в 2015 году. Следующий бэкдор, Wali, эксперты «Лаборатории Касперского» описали в середине апреля нынешнего года, а две недели спустя специалисты Cybereason обнаружили еще одно вредоносное семейство, получившее название ShadowWali.
Как полагают исследователи, ShadowWali является ранней версией Wali. Данный вывод сделан на основе того, что оба вредоноса обладают схожим функционалом, но первый поддерживает лишь 32-разрядную архитектуру, тогда как Wali может работать на 32- и 64-битных системах.
После установки на системе вредоносы внедряются в процессы explorer.exe (Windows Explorer) и lsass.exe (Local Security Authority Subsystem Service). Далее вредоносные программы загружают инструменты, в том числе модуль Mimkatz, для хищения учетных данных с целевого компьютера и исследования локальной сети. Краденные данные 123 использует для продвижения по сети и поиска другой важной информации. С какой целью вирусописатель похищает данные в настоящее время неизвестно.
Источник: securitylab.ru
