Центр экстренного реагирования АнЛаб Секьюрити (ASEC) обнаружил факты распространения штамма вредоносного ПО через взломанные легитимные сайты с использованием различных имен файлов, побуждающих пользователей к их запуску.
Распространение вредоносного ПО происходит с помощью сжатых файлов. Эти файлы предлагают пользователям загрузить и выполнить их. Данный агент угроз известен тем, что взламывает легитимные веб-сайты и использует их в качестве платформы для распространения. Злоумышленник использует не-PE файлы, поскольку в отличие от PE-файлов, не-PE файлы относительно легко модифицировать. Поскольку файлы загружаются через сайты, работающие в обычном режиме, пользователи должны использовать такие продукты, как EDR, которые ведут поведенческий учет и обнаружение.
При распаковке файла создается файл .txt.lnk, замаскированный под расширение .txt. LNK-файл, выдающий себя за значок Блокнота, содержит скрипт и CAB-файл.
Использование различных имен файлов для побуждения пользователей к их выполнению является в настоящее время широко распространенным методом. Поскольку в качестве платформ распространения выступают легитимные сайты, которые были взломаны, пользователям сложно понять, что они загружают вредоносное ПО.
Indicators of Compromise
MD5
- 04d9c782702add665a2a984dfa317d49
- 453e8a0d9b6ca73d58d4742ddb18a736
- 8f3dcf4056be4d7c8adbaf7072533a0a
- c2aee3f6017295410f1d92807fc4ea0d
