Ліцензії на кілька пристроїв (знижки за обсяги)
Threat Database Malware SVCRady

SVCRady

До Mezo року в Malware, Advanced Persistent Threat (APT) році
Перекласти на:
Українська

Кіберзлочинці використовують раніше невідомий завантажувач шкідливих програм, який доставляється за допомогою фішингових атак. Деталі про загрозу та пов’язані з нею кампанії атак були розкриті громадськості у звіті HP. Згідно з висновками дослідників, загроза, яка відстежується як SCVReady, використовує незвичайну техніку, коли її завантажують на пристрій жертви. Слід зазначити, що хоча загроза не може бути остаточно віднесена до конкретної групи APT, існують певні зв’язки між кампанією атаки та попередніми загрозливими операціями, які проводила група TA551 (Shatack).

SVCReady поширюється всередині отруєних файлів Word, прикріплених до електронних листів. Пошкоджені файли все ще використовують макроси VBA для виконання шелл-коду, який, у свою чергу, доставляє корисне навантаження з віддаленого місця. Однак у випадку SVCReady макроси VBA і шелл-код розділяються, і зловмисники приховують зламаний шелл-код у властивостях файлу. Після того, як загроза буде розгорнута в системі, вона спочатку збирає початкову інформацію за допомогою запитів реєстру та викликів Windows API. Потім отримані дані будуть передані на сервер командування та керування (C2, C&C). Зв’язок між пізнішими версіями загрози та її сервером C2 зашифровано RC4.

Завантажувач також спробує з’ясувати, чи виконується він у віртуалізованому середовищі, зробивши два WMI-запити. Залежно від результатів SVCReady може перейти в 30-хвилинний режим сну. Що стосується його механізму збереження, то загроза створить заплановану задачу та новий ключ реєстру у зламаній системі. Однак реалізація цієї функції наразі є недоліком і призводить до помилок, які перешкоджають запуску зловмисного програмного забезпечення після перезавантаження. Цю функціональність можна було б виправити в одній із наступних версій, оскільки дослідники HP відзначають, що SVCReady все ще активно розробляється. Зловмисники загрози можуть вказувати зловмисному програмному забезпеченню робити довільні знімки екрана, запускати команди оболонки, запускати вибраний файл або отримувати додаткові загрозливі корисні дані.

В тренді

Найбільше переглянуті

Шахрайство електронною поштою "Geek Squad".

Phishing, Spam
15,356
Geek Squad, популярна служба технічної підтримки, стала жертвою фішингової афери під назвою Geek Squad Email Scam. У цій шахрайській службі технічної підтримки використовуються фальшиві електронні листи, які обманом змушують людей надати особисту інформацію, таку як дані кредитної картки, адреси електронної пошти та навіть номери соціального страхування. У цій статті ми обговоримо саму аферу,...
Завантаження...