Аналитический центр AhnLab SEcurity Intelligence Center (ASEC) сообщил о распространении вредоносного ПО XLoader с использованием метода боковой загрузки DLL.
XLoader Botnet
При этой атаке вредоносная DLL и легитимное приложение сохраняются в одной папке, чтобы оба запускались при запуске приложения. В данном случае легитимное приложение - jarsigner, используемое в атаке, является инструментом для подписания файлов JAR. Распространяемый файл включает в себя легитимный EXE-файл и два вредоносных DLL-файла: "jli.dll" и "concrt140e.dll". Вредоносная jli.dll выполняет расшифровку и внедрение concrt140e.dll. Вредоносная программа XLoader, расположенная в concrt140e.dll, крадет конфиденциальную информацию и загружает дополнительное вредоносное ПО. Вредоносная jli.dll имеет один и тот же адрес для всех экспортных функций, поэтому при вызове любой функции выполняется функция злоумышленника.
Indicators of Compromise
URLs
- http://www.datarush.life/uhtg/
MD5
- 42f5b18d194314f43af6a31d05e96f16
- 8e6763e7922215556fa10711e1328e08