Новое уклончивое вредоносное ПО уклоняется от обнаружения более чем 50 антивирусными сканерами, предупреждает отчет о безопасности

Хакер в толстовке за передним планом в стиле Матрицы
Исследователи в области безопасности говорят, что они обнаружили новую подлую разновидность вредоносного ПО, которое может остаться незамеченным практически всеми антивирусными сканерами, представленными на рынке. Хотя они не проверяли все существующие из них, они загрузили образец на VirusTotal , и все 56 антивирусных сканеров на сайте не смогли обнаружить вредоносную полезную нагрузку.
Способность этой вредоносной программы так искусно уклоняться от обнаружения, для чего этот штамм был специально разработан, именно то, что делает ее «уникально опасной».

«Образец содержал вредоносную полезную нагрузку, связанную с Brute Ratel C4 (BRc4), новейшим инструментом для имитации состязательных атак, появившимся на рынке. Хотя этой возможности удалось остаться в тени и она остается менее известной, чем Cobalt. Ударьте братьев, это не менее сложно», — заявили в своем блоге исследователи из подразделения разведки угроз Palo Alto Networks Unit 42.
Согласно описанию вредоносного ПО, его разработчики создали штамм после обратного проектирования некоторых из лучших антивирусных механизмов обнаружения и реагирования на конечных точках (EDR). Это одна из причин, почему он так искусно остается незамеченным. Это также одна из причин, по которой исследователи Unit 42 считают, что это вредоносное ПО , спонсируемое государством .
Другая причина — путь распространения. Он подделывает документ CV, но упакован как автономный ISO-образ, содержащий ярлык Windows (LNK), вредоносную полезную нагрузку DLL и законную копию Microsoft OneDrive Updater. Как только машина заражена, ее ждет целый мир угроз — она может загружать больше вредоносных программ, делать снимки экрана, загружать конфиденциальные файлы в центр управления и многое другое.

«В целом, мы считаем, что это исследование важно тем, что оно определяет не только новую возможность «красной команды», которая в значительной степени не обнаруживается большинством поставщиков кибербезопасности, но, что более важно, способность с растущей пользовательской базой, которая, по нашим оценкам, теперь использует развертывание в национальном масштабе. техники», — добавили исследователи.

Эта коварная вредоносная программа начиналась как хобби и превратилась в полноценный проект разработки. Последняя версия появилась в середине мая и стоит 2500 долларов за пользователя. Ожидается, что разработчик(и) заработает на этом штамме более 1 миллиона долларов в течение следующего года.
К счастью, Unit 42 поделился своими выводами со своими коллегами-членами Cyber ​​Threat Alliance (CTA), так что, надеюсь, производители антивирусов будут работать над обновлением своих сканеров. По крайней мере, до следующей версии. Как всегда, обязательно обновляйте используемое антивирусное программное обеспечение.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал