Авторы Hancitor нашли новые подходы к распространению загрузчика

Разработчики загрузчика Hancitor используют новые методы доставки вредоноса, значительно усложняющие его обнаружение. Новая версия Hancitor по-прежнему распространяется через вредоносную рассылку и используется для загрузки вредоносного ПО, такого как Pony и Vawtrak, однако его авторы изменили метод доставки полезной нагрузки вредоноса.

По словам специалистов компании FireEye Анкита Анубхава (Ankit Anubhav) и Дилипа Кумара Джаллепалли (Dileep Kumar Jallepalli), теперь загрузчик применяет трехсторонний подход к доставке. Два метода предполагают использование функций Windows API CallWindowProc и EnumResourceTypesA для выполнения шелл-кода. Третий, пожалуй, самый интересный способ связан с возможностью Hancitor обфусцировать вредоносные команды PowerShell. Как пояснили исследователи, когда пользователи активируют вредоносный макрос, они предоставляют злоумышленникам возможность выполнять команды PowerShell.

Для создания команды вредонос комбинирует фрагменты кода из содержащегося во вредоносном вложении изображения. Далее PowerShell загружает с подконтрольного злоумышленникам web-сайта содержащий полезную нагрузку .ZIP архив и распаковывает его. После загрузки исполняемого файла, код удаляет архив и запускает исполняемый файл, который, в свою очередь, загружает вредоносы Pony или Vawtrak. Первый предназначен для хищения информации и учетных данных, второй представляет собой банковский троян, способный похищать логины и пароли пользователей сервисов online-банкинга и переводить средства на сторонние счета.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s