Исследователи Trend Micro обнаружили новый метод распространения опасного трояна LokiBot

Аналитики центра Threat Defense Experts компании Trend Micro детектировали свежую активность трояна LokiBot – опасный вредоносный код, похищающий с устройств пользователя пароли и платежные данные. Троян активно развивается злоумышленниками и имеет несколько модифицированных компаний по заражению: через Remote Code Execution уязвимости сервиса Windows Installer, через ISO image, и даже вариант распространения через стеганографию. Последний обнаруженный метод нетипичен и представляет собой «компиляцию после доставки вредоносного программного обеспечения» (compile after delivery), что является действенной техникой обхода средств защиты (evasion technique).

Доставка вредоносного ПО осуществляется через инсталляционный пакет игры Epic Games Fortnite, который имеет логотип компании и соответствующее сопровождающее письмо, - это создает иллюзию легитимности информации, что достаточно характерно для фишинговых писем (максимальное использование логотипов). Сам инсталлятор обфусцирован мусорным набором данных, что усложняет его анализ и выявление вредоносного кода. При запуске, в систему устанавливается два файла: C# исходник и *.NET исполняемый файл. *.NET файл компилирует C# исходный код, который вызывает установку зашифрованного инкапсулированного в нем вредоносного кода (LokiBot payload). Эти техники запуска делают вредонос практически невидимым для традиционных механизмов защиты.

LokiBot детектируется решениями Trend Micro как Trojan.Win32.LOKI – впервые был обнаружен с помощью алгоритмов машинного обучения (в данном случае, первичный детект идет под тегом Troj.Win32.TRX.XXPE50FFF034), встроенных в решения Trend Micro Deep Discovery.  Такие алгоритмы демонстрируют большую эффективность по сравнению с традиционными механизмами анализа вредоносного ПО и техник уклонения от детектирования.

Группа компаний Angara обладает максимальным партнерским статусом Trend Micro и высоким уровнем компетенций по всему портфелю решений. За дополнительной консультацией обращайтесь к менеджерам компании по e-mail info@angaratech.ru или телефону 8-495-269-26-06.



Другие публикации

Мошенники начали активно взламывать и массово скупать аккаунты пользователей в маркетплейсах

В российском сегменте интернета в последние несколько месяцев фиксируется существенное увеличение интереса злоумышленников и киберпреступников к учётным записям российских пользователей на различных маркетплейсах

актуально

22.01.2025

Создание систем безопасности: можно ли говорить о готовности КИИ к современным угрозам ИБ?

С 1 января 2025 г. организациям, являющимся субъектами критической информационной инфраструктуры (КИИ) РФ, запрещается использовать средства защиты информации и сервисы по обеспечению информационной безопасности, странами происхождения которых выступают недружественные России иностранные государства либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств.

актуально

20.01.2025

Инструменты и технологии проактивной безопасности в e-Commerce

Цифровая трансформация является неотъемлемой частью любого бизнеса в современном мире, и она требует внедрения технологий проактивной безопасности для защиты данных и предотвращения кибератак. Об использовании передовых инструментов и средств защиты данных рассказывает Денис Бандалетов, руководитель отдела сетевых технологий Angara Security.

04.11.2024

Как сохранить свои данные в безопасности?

Отвечает директор по управлению сервисами Angara Security Павел Покровский.

01.11.2024

Рынок услуг управления уязвимостями в России: контроль поверхности атак

Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций.

30.10.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах