IT обозрение


Новости интернета и компьютерных технологий

Хакеры атакуют организации в Италии

16 июня
23:51 2017

Хакеры атакуют организации в Италии

Специалист компании Yoroi Марко Рамилли (Marco Ramilli) описал многоэтапную атаку, направленную на итальянские организации. В рамках вредоносной кампании злоумышленники рассылают электронные письма на итальянском языке с загрузчиком, замаскированным под бланк заказа (ordine_065.js).
Данный загрузчик загружает и исполняет PE-файл, содержащий ряд компонентов, основными из которых являются три модуля — Anti Module, Service и RunPe. IP-адрес ресурса (31.148.99.254), с которого загружается файл, предположительно принадлежит расположенной в Украине компании, специализирующейся на предоставлении облачных услуг.
Как выяснил исследователь, компонент Anti Module отвечает за использование различных техник уклонения от обнаружения. Он проводит проверки на предмет нахождения на виртуальной машине и при обнаружении инструментов SanBoxie, Fiddler и Wireshark меняет собственное поведение. Второй модуль пытается деактивировать различные функции Windows, например, Контроль учетных записей, Интерпретатор команд, Планировщик задач и т.д. Наконец, модуль RunPe расшифровывает и исполняет дополнительную полезную нагрузку.
Эксперт не указывает, о каком вредоносном ПО идет речь или для чего оно предназначено. По его словам, интересен тот факт, что злоумышленники используют различные методы для маскировки источника атаки. Например, в коде встречаются строки как на русском языке, так и иероглифы, однако их наличие отнюдь не говорит о том, что атака — совместная операция хакеров из РФ и Китая. Более подробный технический анализ представлен в блоге исследователя.

Источник: securitylab.ru


Статьи по теме

0 0 vote
Article Rating
Подписаться
Уведомление о
guest
0 Комментарий
Inline Feedbacks
View all comments

Последние новости

5:41 SoC Snapdragon 750G — скоро во многих 5G-смартфонах. Но Xiaomi и тут будет первой

0 комментариев Читать всю статью