Компанията за компютърна сигурност Malwarebytes алармира за нова безфайлова атака, която експлоатира услугата за докладване на появили се грешки в Windows, Windows Error Reporting (WER). Групата хакери, които стоят зад тази нова форма на атака все още не е идентифицирана. Те използват изпълнимите файлове на WER за скриване на зловредния код, като по този начин не събуждат подозрение, пишат от Malwarebytes.

Атаката регистрирана от Malwarebytes е стартирала, като фишинг имейл с приложен в него документ, съдържащ зловреден макрос. Веднъж активирал се, той инжектира във WerFault.exe динамична библиотека с името Kraken.dll, като от компанията подчертават, че самият метод, макар и рядко срещан, не е нов за специалистите – познат е в атаките с NetWireRAT и рансъмуер заплахата Cerber. Според Malwarebytes, създателите на настоящата кампания са най-вероятно APT група, може би небезизвестната APT32, тъй като те използват сходни методи и инструменти, като тези в настоящата атака, а домейнът, на който се хоства компрометирания сайт, доставящ зловредния код е разположен в Хошимин, Виетнам, откъдето се предполага, че действа APT32.

„Макар и тази техника да не е нова, тази кампания вероятно е дело на APT (Advanced Persistent Threat) група, която по-рано използва фишинг атака, за да подлъже жертвите си с компенсационен план, насочен към работещи. Въпросната група е отговорна за компрометирането на уебсайт, за да разположи зловредния код, а след това използва платформата на CactusTorch, за да извърши безфайлова атака, последвана от няколко техники срещу анализ. Към момента на публикуването на тази информация, ние не можем ясно да припишем отговорност за атаката, макар че някои елементи да ни напомнят за виетнамската APT32“, пишат от Malwarebytes.

Пълен анализ на атаката, придружен от индикатори на компрометиране (IOCs), може да откриете тук.

Абонирай се
Извести ме за
guest
1 Коментар
стари
нови
Отзиви
Всички коментари
zoro
zoro
1 година

Разбира се, щом домейна на хакерите се хоства в Хошимин, значи и хакерите са от там. Няма как да е друго (хостинга винаги е по настоящ адрес на хакера, за не-хакерите не е задължително).