Злоумышленники используют PowerShell в атаках с применением FAREIT

Эксперты Trend Micro сообщили о новом виде атак с использованием вредоносного ПО FAREIT, предназначенного для похищения данных. Это семейство вредоноснов известно еще с 2011 года, однако теперь злоумышленники стали распространять его с помощью средства автоматизации PowerShell.

Исследователи Trend Micro фиксируют атаки с использованием PowerShell с 2014 года. Несмотря на то, что тогда злоумышленники крайне редко применяли данную технику, она является очень эффективной. Прежде всего, вредоносная активность остается для жертвы незамеченной, поскольку PowerShell работает в фоновом режиме. Более того, с помощью данной функции Windows злоумышленники могут похищать имена пользователей и пароли, обходясь без исполняемого файла.

Вредоносное ПО FAREIT распространяется с помощью фишинговых писем со вложенным вредоносным PDF-файлом или документом Word с вредоносными макросами. Когда жертва открывает PDF-файл, запускается PowerShell. По данным исследователей, для выполнения вредоносного кода используется OpenAction. На систему загружается TSPY_FAREIT и похищает сохраненные в браузерах логины и пароли, учетные данные электронной почты, связанную с биткойнами информацию и пр.

Инфицирование также происходит, когда жертва открывает документ с вредоносными макросами (при условии, что макросы активированы). Как правило, вредоносное ПО использует либо макросы, либо PowerShell, однако FAREIT применяет и то, и другое.
В марте нынешнего года было обнаружено вымогательское ПО PowerWare, также использующее и PowerShell, и макросы. Тем не менее, в отличие от FAREIT, вредонос сначала использует макросы, а затем запускает PowerShell, где содержатся параметры для вредоносного кода. В случае с FAREIT вредоносный PDF-файл использует OpenAction для непосредственного запуска PowerShell с параметрами, содержащими вредоносный код.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s