ВОЛК В ОВЕЧЬЕЙ ШКУРЕ

Бэкдор PowerShell надел “овечью шкуру” в виде обновления Windows.

Неизвестная, но очень хорошо подготовленная хакерская группировка создала неуловимый бэкдор, который смогли обнаружить только эксперты Компании SafeBreach.

Руководитель команды исследователей в SafeBreach Томер Бар отметил, что за незаметным вредоносом и его C&C-инфраструктурой стоит крайне подготовленная группировка, жертвами которой уже стали около 100 организаций.

Нападения хакерской группировки сформированы по принципу цепочки: начинается все с Word-документа (VirusTotal), выгруженного в сеть 25 августа 2022 года из Иордании. Эксперты сделали вывод, что кибермошенников в первую очередь интересуют пользователи LinkedIn.

Как только жертва откроет Word-документ, на ее компьютере выполнится PowerShell-скрипт с помощью вшитого в файл макрокода. В свою очередь PowerShell-скрипт нужен для подключения к C&C-серверу и получения команд, которые запустятся следующим скриптом.

Эксперты нашли ошибку, которую совершила хакерская группировка. Среди команд, отправляемых сервером, специалисты нашли команды для запуска whoami, перечисления файлов в определенных папках, извлечения списка запущенных процессов и удаления файлов из общих папок пользователей.

Мы всегда следим за развитием технологий атак хакеров, чтобы быть на шаг впереди. Благодаря данному подходу мы предлагаем Нашим Клиентам только самые эффективные решения от Наших Партнеров.