Aa Aa Aa

Хакери використовують системний калькулятор Windows для зараження трояном

Хакери використовують системний калькулятор Windows для зараження трояном

Троян дистанційного доступу з відкритим вихідним кодом Quasar RAT використовує техніку DLL Sideloading, щоб непомітно витягувати дані із заражених пристроїв на базі Windows.

За словами дослідників Uptycs , цей метод використовує системну довіру, якою ці файли користуються в середовищі Windows. У своєму звіті фахівці докладно описали, як шкідливе ПЗ експлуатує ctfmon.exe і calc.exe під час атаки.

Quasar RAT, також відомий як CinaRAT ​​або Yggdrasil, є легітимним інструментом на базі C# для віддаленого адміністрування. Він здатний збирати інформацію про систему, список запущених програм, файли, натискання клавіш, скріншоти та виконувати довільні команди оболонки.

Техніка DLL Sideloading часто використовується кіберзлочинцями, дозволяючи їм запускати свої власні корисні навантаження, замінюючи DLL-файли довірених програм шкідливими.

Як відправна точка атаки Uptycs вказує на ISO -образ, що містить у собі три файли. При запуску виконуваного файлу всередині образу ініціюється завантаження бібліотеки MsCtfMonitor.dll, в якій і прихований шкідливий код.

Прихований код є іншим виконуваним файлом, який впроваджується в «Regasm.exe», інструмент реєстрації збірки Windows, щоб запустити наступний етап атаки. Тут запускається справжній файл «calc.exe», тобто системний калькулятор, але з шкідливою DLL-бібліотекою. Зрештою, саме калькулятор і завантажує на комп'ютер жертви троян Quasar RAT.

Троян, своєю чергою, встановлює з'єднання з віддаленим сервером, щоб регулярно надсилати інформацію про заражену систему. Більше того, він навіть настроює зворотний проксі-сервер для швидкого доступу до кінцевої точки.

Поки неясно, хто стоїть за цією атакою і який саме вектор використовувався для її ініціації, проте дослідники припускають, що поширення відбулося за допомогою фішингових листів. Експерти також нагадали про необхідну пильність під час роботи з сумнівними листами, посиланнями або вкладеннями, адже саме вони найчастіше призводять до зараження комп'ютерів шкідливим софтом.

Якщо у вас є сумніви щодо «чистоти» вашого комп'ютера, обов'язково варто просканувати його будь-яким авторитетним антивірусним рішенням з останніми сигнатурними базами.