Новости Новая программа-вымогатель CatB использует DLL Hijacking для скрытного внедрения в целевые системы

NewsMaker

I'm just a script
Премиум
9,320
18
8 Ноя 2022
Вредонос не имеет классической записки с выкупом — как же жертвам узнать, кому платить за дешифровку?


yzvp1utq52tz1nnq88v6tnpyzi0anife.jpg


Согласно Для просмотра ссылки Войди или Зарегистрируйся специалистов SentinelOne , злоумышленники, стоящие за вредоносной вымогательской кампанией CatB, используют в своих атаках метод, называемый «DLL Hijacking» ( Для просмотра ссылки Войди или Зарегистрируйся ) для избежания обнаружения и запуска полезной нагрузки.

Вымогатель CatB (также известный как CatB99 или Baxtoy) появился в конце прошлого года и, по данным исследователей, является «эволюцией или прямым ребрендингом» другого штамма программы-вымогателя, известного как Pandora. Использование Pandora ранее было приписано группе злоумышленников Bronze Starlight (DEV-0401, Emperor Dragonfly), базирующейся в Китае.

Одной из ключевых характеристик CatB является использование метода подмены DLL через законную службу Microsoft Distributed Transaction Coordinator (MSDTC), которая используется хакерами для извлечения и запуска полезной нагрузки программы-вымогателя. Также вредонос может определить, не запущен ли он в виртуальной среде, чтобы изменить своё поведение в «песочнице» и сбить с толку исследователей кибербезопасности.

Одним из забавных аспектов программы-вымогателя является отсутствие отдельной записки с требованием выкупа. Вместо этого в «шапку» каждого зашифрованного файла прописывается сообщение с адресом криптокошелька злоумышленников и необходимой суммой перевода.


rz9ii3vfogfymqdqo529a8mhcs4wz431.png


Записка хакеров, встроенная прямо в зашифрованный файл

Еще одной особенностью вредоносного ПО является способность собирать конфиденциальные данные, такие как пароли, закладки, историю из популярных веб-браузеров Google Chrome, Microsoft Edge, Internet Explorer и Mozilla Firefox.

«CatB присоединился к длинному ряду программ-вымогателей, которые используют новые методы и нетипичное поведение, вроде добавления записок с выкупом прямо в зашифрованные файлы», — заявил исследователь компании SentinelOne.

Это не первый известный случай использования службы MSDTC в злонамеренных целях. Например, в мае 2021 года компания Trustwave сообщала о вредоносном ПО, получившем название Pingback, в котором использовался тот же метод для обхода решений безопасности и обеспечения постоянства в целевой системе.
 
Источник новости
www.securitylab.ru

Похожие темы