Исследователи фиксируют резкий рост кампаний с применением опасного вредоноса.
C начала марта этого года исследователи в области кибербезопасности зафиксировали резкий рост фишинговых кампаний, направленных на распространение нового загрузчика вредоносного ПО Latrodectus (в переводе «чёрная вдова»), который считается преемником IcedID.
Эксперты из Elastic Security Labs, Даниэль Степанич и Самир Буссаден, сообщили, что эти кампании используют большие файлы JavaScript, которые задействуют возможности WMI для запуска «msiexec.exe» и установки удалённо размещённого MSI-файла через WEBDAV.
Latrodectus обладает стандартными функциями, характерными для вредоносного ПО, предназначенного для скачивания дополнительных полезных нагрузок, таких как QakBot, DarkGate и PikaBot, что позволяет злоумышленникам выполнять различные постэксплуатационные действия. Анализ показал, что вредоносное ПО активно занимается перечислением и выполнением команд, а также включает технику самоудаления.
Кроме того, Latrodectus маскируется под библиотеки, связанные с легитимным программным обеспечением, использует обфускацию исходного кода и проводит проверки на наличие анализа, чтобы предотвратить свою работу в среде отладки или песочнице.
Вредоносное ПО также устанавливает постоянное присутствие на системах Windows с помощью запланированных задач и устанавливает связь с сервером управления и контроля (C2) через HTTPS для получения команд, позволяющих собирать информацию о системе, обновляться, перезапускаться, завершать свою работу, запускать шелл-код, DLL и исполняемые файлы.
Среди новых команд, добавленных в Latrodectus с конца прошлого года, есть команды для перечисления файлов на рабочем столе и получения всей цепочки выполняемых процессов на заражённом устройстве. Вредоносное ПО также поддерживает команду для загрузки и выполнения IcedID, хотя исследователи из Elastic не зафиксировали этого поведения на практике.
«Очевидно, что между IcedID и Latrodectus существует некая связь или рабочая договорённость», — заявили эксперты. «Существует гипотеза, что Latrodectus активно разрабатывается как замена IcedID, а команда загрузки #18 была включена, пока разработчики не убедятся в возможностях нового вредоносного ПО».
Таким образом, злоумышленники постоянно совершенствуют методы распространения вредоносного ПО, создавая новые изощренные загрузчики и боты для проникновения в компьютерные системы. Они адаптируются и используют передовые техники маскировки, чтобы избежать обнаружения антивирусными программами.
Крайне важно регулярно обновлять средства безопасности, повышать осведомлённость пользователей и внедрять многоуровневую защиту для противодействия постоянно меняющимся киберугрозам.
Приватность — это право, а не роскошь.
Подпишитесь на наш канал и защитите свои права
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
