USD 67.52 ЕВРО 76.09

Дистрибьюторы зловредного ПО переключились на менее подозрительные типы файлов

Экономика

Последние кампании по рассылке вредоносного ПО вместо JavaScript использовали вложения LNK и SVG 


 
В прошлом году злоумышленники активно использовали вложения электронной почты с JavaScript для распространения вредоносного ПО, а теперь они переходят на менее подозрительные типы файлов, чтобы обмануть пользователей.
 
На прошлой неделе исследователи из Microsoft Malware Protection Center предупредили о новой волне спама, которая несет вредоносные файлы .LNK внутри ZIP архивов. Эти файлы содержат вредоносные скрипты PowerShell.
 
PowerShell является языком сценариев для автоматизации задач системного администрирования в Windows. Его использовали для загрузки вредоносных программ и в прошлом. Есть даже вредоносные программы, написанные полностью в PowerShell.
 
В недавней кампании, замеченной Microsoft, вредоносные LNK-файлы содержали скрипт PowerShell, который скачивал и устанавливал троян Kovter. Та же техника была использована в прошлом для распространения программы-вымогателя Locky.
 
В четверг исследователи из Intel Security предупредили, что PowerShell может также использоваться в так называемых безфайловых атаках, когда вредоносный код запускается непосредственно в памяти, и ничего не сохраняется на диске, чтобы исключить обнаружение продуктами защиты.
 
«Вы можете думать, что защищены от бесфайловых вредоносных программ, так как политики выполнения PowerShell ограничены, и скрипты не смогут работать», пишут исследователи Intel Security в своем блоге. «Тем не менее, злоумышленники могут легко обойти эти политики».
 
Другой тип файла, используемый для распространения вредоносного программного обеспечения в последние месяцы, SVG (Scalable Vector Graphics). Хотя многие правильно ассоциируют .svg файлы с изображениями, малоизвестно, что такие файлы могут содержат JavaScript.
 
Злоумышленники используют SVG-файлы для выполнения обфусцированного JavaScript, когда пользователь открывает изображение в браузере. Эти скрипты используются для загрузки вредоносных файлов, пишут исследователи из Internet Storm Center SANS.
 
Google планирует блокировать вложенные файлы с JavaScript в Gmail с 13 февраля, независимо от того, прикреплены ли они непосредственно к письму, или находятся в архивных файлах. Такие ограничения от поставщиков сервиса электронной почты, скорее всего, заставят киберпреступников найти альтернативные форматы файлов, которые позволят скрывать вредоносный код.
 
Запретить LNK или JS вложения легко, потому что пользователи редко отправляют эти файлы по электронной почте. Тем не менее, запрет на SVG может оказаться непрактичным, поскольку этот формат широко используется для изображений.