Търсене
Close this search box.

Хакери,  работещи на китайски език се възползват от файловия формат на Windows Installer (MSI), за да заобиколят стандартните проверки за сигурност.

Известно е, че хакерите доставят зловреден софтуер в същите видове познати формати: Изпълними файлове, архиви и файлове на Microsoft Office и т.н. Новият зареждащ зловреден софтуер, насочен към китайски и корейски говорители, който изследователите от Cyberint са обозначили като „UULoader“, е в малко по-рядко срещаната форма MSI.

Всъщност Cyberint не е единственият доставчик, който е забелязал ръст на зловредните MSI от Азия това лято. Зараждащата се тенденция може да се дължи отчасти на някои нови скрити тактики, които позволяват на  заплахите да игнорират недостатъците и да се възползват от силните му страни.

„Това не е много често срещано явление, [тъй като] зловредните MSI файлове се маркират доста лесно от статичните скенери“, обяснява изследователят по сигурността в Cyberint Шаул Вилкомир Прейсман. „Но ако използвате няколко хитри, малки трика – като премахване на заглавието на файла, използване на sideloader и други подобни – ще се справите.“

Механизми за прикриване на UULoader

Изглежда, че неидентифицираният, но вероятно китайски колектив, който стои зад UULoader, го разпространява предимно чрез фишинг имейли. Те го маскират като програма за инсталиране на легитимно приложение като AnyDesk (което може да означава, че е насочено към предприятия) или като актуализация за приложение като Google Chrome.

Това трябва незабавно да задейства аларми във всяка система Windows, тъй като UULoader не е подписан и не се ползва с доверие, както би било при легитимно приложение. За да заобиколи това, Прейсман казва: „Той използва няколко доста прости механизми за заобикаляне на статиката, като премахване на заглавието на файла и странично зареждане на DLL, комбинацията от които го прави на пръв поглед почти невидим за повечето статични скенери.“

Първите няколко байта във всеки файл са като етикет за име, който позволява на операционната система и приложенията да разберат с какъв тип файл си имат работа. UULoader премахва този хедър – „MZ“ в този случай – от основните си изпълними файлове, за да предотврати класифицирането им като видове файлове, от които може да се заинтересува програма за сигурност. Това работи, казва Прейсман, защото „в опит да бъдат по-малко склонни към фалшиви положителни резултати, статичните скенери пренебрегват нещата, които не могат да класифицират, и всъщност не правят нищо с тях“.

Защо тогава всеки зловреден софтуер не прави това? Защото „когато премахнете заглавията на файловете, трябва да намерите начин да сглобите файла по някакъв начин, така че той да се изпълни на машината на жертвата“, отбелязва той. UULoader прави това с два еднобайтови файла, които съответстват на символите „M“ и „Z“. С помощта на проста команда двете букви се правят така, че по същество да реформират постфактум табелката с имената и програмите да могат да функционират както е необходимо.

UULoader използва още няколко трика, за да обърка жертвата си. От една страна, той стартира легитимен примамлив файл – например истинският инсталатор на Chrome, за който се представя на първо място. Освен това той изпълнява VBScript (VBS), който регистрира създадената от него папка като изключване в Microsoft Defender.

Като цяло неговите скрити механизми могат да обяснят защо първоначалните открития във VirusTotal миналия месец дадоха напълно безобидни резултати. „На пръв поглед никой не открива тези проби. Едва след като са известни от известно време – от няколко дни, и пясъчниците действително са имали време да ги обработят – откритията на тези проби се увеличават“, казва Прейсман.

MSI в Югоизточна Азия

В края на инфекциозната си верига UULoader е наблюдаван да пуска Gh0stRAT и допълнителни хакерски инструменти като Mimikatz. И тъй като тези инструменти са толкова широко популярни и приложими за различни видове атаки, точната природа и цел на тези инфекции все още не е известна.

Gh0stRAT е широко разпространен търговски инструмент за хакерство в китайските среди, където употребата на MSI изглежда се увеличава.

„Наблюдаваме го най-вече в Югоизточна Азия – съобщава Прейсман, – особено през последния месец, когато видяхме доста значителен ръст. Видяхме пет, 10, може би 20 случая за седмица, а през последния месец имаше значително увеличение – може би двойно по-голямо“.

Може би това ще продължи, докато MSI файловете не придобият известност, на каквато се радват другите типове файлове.

„В днешно време – казва той, – повечето потребители ще бъдат малко по-подозрителни към документ на Word или PDF. Инсталаторите на Windows наистина не са толкова разпространени, но са хитър начин за свързване на зловреден софтуер.“

 

Източник: DARKReading

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
10 октомври 2024

Атаката на American Water подновява фокуса върх...

Кибератака продължава да засяга най-голямата регулирана компания за...
Бъдете социални
Още по темата
10/10/2024

Нов проект на Google има за...

Днес Google обяви старта на Глобалния...
09/10/2024

Microsoft потвърждава експл...

Във вторник Microsoft издаде спешно предупреждение...
06/10/2024

Кибератаките в образованиет...

Киберпрестъпниците се насочват към образователните институции,...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!