Підписуйтеся на наш телеграм канал!

Аналітики розповіли про незвичайну атаку хакерів ніндзя

12:01 pm, 6 Квітня, 2024

Фахівці з кібербезпеки попереджають про нову хвилю атак на португаломовні країни з використанням підроблених установників Adobe Reader для поширення мультифункціонального шкідливого програмного забезпечення під назвою Byakugan.

Атака починається з PDF-файлу, який під час відкриття відображає розмите зображення і пропонує жертві завантажити сторонній додаток для перегляду його вмісту.

За інформацією дослідників із компанії Fortinet, клік на напис призводить до завантаження інсталятора, що ініціює процес зараження. Інформація про цю кампанію вперше була опублікована центром кіберрозвідки ASEC минулого місяця.

Техніка атаки передбачає використання методів, таких як DLL Hijacking і обхід контролю облікових записів Windows (UAC), для завантаження шкідливого DLL-файлу, який, зі свого боку, активує основний шкідливий код. У процесі також задіюється легітимний установник PDF-рідера Wondershare PDFelement.

Бінарний файл здатний збирати метадані системи і передавати їх на сервер управління, а також завантажувати основний модуль «chrome.exe», який також виконує роль сервера управління для прийому файлів і команд.

Byakugan заснований на node. js і містить кілька бібліотек, що відповідають за різні функції: встановлення скриптів в системі, моніторинг робочого столу користувача за допомогою OBS Studio, створення скріншотів, завантаження майнерів криптовалюти, логування натискань клавіш, інвентаризація та завантаження файлів, а також крадіжка даних, збережених у веб-браузерах.

Під час аналізу зв’язків шкідника дослідники запустили веб-панель управління Byakugan, що зустріла непроханих гостей екраном авторизації. У кутку відкритої вкладки можна побачити іконку ніндзя з білими очима, що є явним відсиланням до аніме «Наруто». Власне, як і сама назва шкідливого скрипта.

Підписуйтеся на наш телеграм канал!

BTC

$67,751.45

-2.38%

ETH

$3,830.92

1.61%

BNB

$598.90

-2.62%

XRP

$0.53

0.23%

SOL

$178.57

-0.94%

Всі курси
Підписуйтеся на наш
телеграм канал!
Свіжі новини та огляди
ринків криптовалют останньої
доби прямо у вашому мессенджері. Чекаємо на вас!
ПЕРЕЙТИ
Показати більше