Jucătorii de amenințări abuzează de Microsoft Build Engine (MSBuild) pentru a furniza troieni fără acces la distanță și malware care fură parole pe sistemele Windows vizate.

Se spune că campania aflată în desfășurare a fost lansată luna trecută, au declarat joi cercetătorii de la firma de securitate cibernetică Anomalous, adăugând că fișierele de construcție rău intenționate au fost încorporate cu executabile criptate și cod shell care încep din spate, permițând oponenților să preia controlul asupra mașinilor victimelor și să fure informații sensibile.

MSBuild este un instrument de construcție open-source pentru .NET și Visual Studio dezvoltat de Microsoft care permite compilarea codului sursă, ambalarea, testarea, implementarea aplicațiilor.

auditor de parole

Atunci când utilizați MSBuild pentru a compromite o mașină fără fir, ideea este să rămâneți sub radar și să întrerupeți detectarea, deoarece un astfel de malware folosește o aplicație legitimă pentru a încărca codul de atac în memorie și, astfel, nu lasă nici o urmă de infecție pe sistem și o dă atacatorilor. nivel ridicat de stealth.

La momentul scrierii, doar doi furnizori de securitate marchează unul dintre fișierele .proj de la MSBuild („vwnfmo.lnk”) ca fiind dăunător, în timp ce al doilea eșantion („72214c84e2.proj”) a fost încărcat pe VirusTotal la 18 aprilie, rămâne nedetectabil de orice aparat anti-malware. Majoritatea eșantioanelor analizate de Anomalii s-au dovedit a conduce RAT Remcos, câteva alte conducând, de asemenea, Quasar RAT și RedLine Stealer.

Remcos (cunoscut și sub numele de software de control și supraveghere de la distanță), odată instalat, oferă acces complet oponentului la distanță, caracteristicile sale variind de la captarea tastelor la executarea comenzilor arbitrare și înregistrarea microfoanelor și a camerelor web, în ​​timp ce Quasar este open-source. cheylogging, furt de parole, printre altele. Redline Stealer, așa cum sugerează și numele, este un malware de marfă care fură acreditări de la browsere, VPN-uri și clienți de mesagerie, pe lângă faptul că fură parole și portofele asociate cu aplicațiile de criptomonede.

„Actorii de amenințare din spatele acestei campanii au folosit livrarea fără fir ca o modalitate de a ocoli măsurile de securitate, iar această tehnică este utilizată de actori pentru o varietate de scopuri și motivații”, au spus cercetătorii Anomali Tara Gould și Gage Mele. „Această campanie subliniază faptul că dependența de software-ul antivirus singur nu este suficientă pentru apărarea cibernetică, iar utilizarea codului legitim pentru a masca malware-ul din tehnologia antivirus este eficientă și crește exponențial.”

Ti s-a parut interesant acest articol? Urmăriți THN pe Facebook, Stare de nervozitate și LinkedIn pentru a citi mai multe conținuturi exclusive pe care le-am creat.