Исследователи Trend Micro обнаружили новый метод распространения опасного трояна LokiBot

Аналитики центра Threat Defense Experts компании Trend Micro детектировали свежую активность трояна LokiBot – опасный вредоносный код, похищающий с устройств пользователя пароли и платежные данные. Троян активно развивается злоумышленниками и имеет несколько модифицированных компаний по заражению: через Remote Code Execution уязвимости сервиса Windows Installer, через ISO image, и даже вариант распространения через стеганографию. Последний обнаруженный метод нетипичен и представляет собой «компиляцию после доставки вредоносного программного обеспечения» (compile after delivery), что является действенной техникой обхода средств защиты (evasion technique).

Доставка вредоносного ПО осуществляется через инсталляционный пакет игры Epic Games Fortnite, который имеет логотип компании и соответствующее сопровождающее письмо, - это создает иллюзию легитимности информации, что достаточно характерно для фишинговых писем (максимальное использование логотипов). Сам инсталлятор обфусцирован мусорным набором данных, что усложняет его анализ и выявление вредоносного кода. При запуске, в систему устанавливается два файла: C# исходник и *.NET исполняемый файл. *.NET файл компилирует C# исходный код, который вызывает установку зашифрованного инкапсулированного в нем вредоносного кода (LokiBot payload). Эти техники запуска делают вредонос практически невидимым для традиционных механизмов защиты.

LokiBot детектируется решениями Trend Micro как Trojan.Win32.LOKI – впервые был обнаружен с помощью алгоритмов машинного обучения (в данном случае, первичный детект идет под тегом Troj.Win32.TRX.XXPE50FFF034), встроенных в решения Trend Micro Deep Discovery.  Такие алгоритмы демонстрируют большую эффективность по сравнению с традиционными механизмами анализа вредоносного ПО и техник уклонения от детектирования.

Группа компаний Angara обладает максимальным партнерским статусом Trend Micro и высоким уровнем компетенций по всему портфелю решений. За дополнительной консультацией обращайтесь к менеджерам компании по e-mail info@angaratech.ru или телефону 8-495-269-26-06.



Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах