Новая волна кибератак: хакеры обходят антивирусы и стандартную защиту

Исследователи из западной ИБ-компании HarfangLab выявили новую кампанию, распространяющую вредоносный загрузчик...

Исследователи из западной ИБ-компании HarfangLab выявили новую кампанию, распространяющую вредоносный загрузчик Hijack Loader с использованием легитимных сертификатов цифровой подписи. Об этом CNews сообщили представители «Газинформсервиса» и рассказали, как защититься от подобных атак.

Злонамеренная активность зафиксирована в начале октября 2024 г. Цель атаки — установка программы для кражи данных под названием Lumma.

Hijack Loader распространяется через загрузку поддельных файлов под видом пиратского программного обеспечения или фильмов. Новые версии атак направляют пользователей на фальшивые CAPTCHA-страницы, где предлагается ввести и запустить вредоносную команду PowerShell, загружающую зараженный архив.

Архив, который скачивают жертвы, содержит как легитимный исполняемый файл, так и вредоносный DLL, загружающий Hijack Loader. Вредоносный файл расшифровывает и выполняет закодированные данные, предназначенные для загрузки и запуска инфостилера.

С октября 2024 г. злоумышленники начали использовать подписанные бинарные файлы вместо DLL, чтобы избежать обнаружения антивирусными программами. Как сообщают эксперты, сертификаты, использовавшиеся для подписания вредоносного ПО, уже были отозваны.

«Распространение вредоносного ПО через установку "пиратских" файлов — уже устоявшийся вид кибератаки. Мы давно убедились, что установка файлов с непроверенного источника под видом подлинных не гарантирует легитимность установленного ПО, в некоторых случаях — даже при наличии цифровой подписи. Подобные файлы требуют дальнейшего наблюдения за их активностью и вызываемыми процессами. С данной задачей прекрасно справится платформа расширенной аналитики Ankey ASAP, позволяющая анализировать поведение пользователей и сущностей, а также использование легитимного ПО в злонамеренных целях», — сказал Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».