02.01.2022

Штамм вредоносного ПО Stealthy BLISTER обнаружен в системах Windows

Bitdefender > Новости > Штамм вредоносного ПО Stealthy BLISTER обнаружен в системах Windows

Эксперты по безопасности Bitdefender обнаружили кампанию вредоносных программ, которая маскирует вредоносные компоненты как подлинные исполняемые файлы с помощью действительных сертификатов подписи кода в системах Windows.

Одна из обнаруженных полезных нагрузок, названная Blister. Она является загрузчиком для других штаммов вредоносного ПО. Blister кажется новой киберугрозой и имеет низкий уровень обнаружения. Киберпреступники, стоящие за вредоносным ПО Blister, используют различные методы, чтобы оставаться в тени, но полагаются на действительные сертификаты для подписи кода.

Согласно отчету о безопасности, злоумышленники Blister проводят вредоносные кампании с 15 сентября, используя сертификаты для подписи кода, которые были проверены с 23 августа. Кроме того, сертификат злоумышленников был выдан на компанию ООО «Блист» с использованием адреса электронной почты, зарегистрированного в российском провайдере почтовых услуг Mail.Ru.

По сообщениям, преступники использовали множество приемов, чтобы замаскировать нападение. Одним из наиболее заметных способов было привязать Blister к легитимной библиотеке в системе, чтобы свести уровень обнаружения к минимуму.

После внедрения вредоносного ПО злоумышленники запускает его с правами администратора с помощью команды rundll32. Эта опасная комбинация действительных сертификатов и повышенных прав позволяет вредоносным компонентам, таким как Blister, ускользнуть незамеченным через защитные системы.

Следующим шагом вредоносная программа начинает декодировать код начальной загрузки из раздела ресурсов. Стоит отметить, что код сильно запутан и остается бездействующим в течение 10 минут после декодирования.

После задержки Blister расшифровывает полезные нагрузки встроенных вредоносных программ, таких как BitRat и CobaltStrike, которые помогают злоумышленникам достичь удаленного доступа и бокового перемещения в скомпрометированных системах.

В итоге вредоносная программа обеспечивает постоянство в системе за счет репликации в папку C: \ ProgramData и создания переименованной локальной копии rundll32.exe. Более того, Blister настраивается на запуск при входе в систему как дочерний для explorer.exe, создавая ссылку в папке автозагрузки текущего пользователя.

Использование действительных сертификатов для подписи кода для маскировки вредоносных программ под легитимные файлы – не новый метод. В прошлом было известно, что злоумышленники крадут сертификаты у законных компаний. В настоящее время злоумышленники просто используют данные скомпрометированных компаний для запроса действительных сертификатов.

Новости
21.01.2022
Тактический анализ угроз: как защитить данные от сложных атак
19.01.2022
Атака программ-вымогателей заморозила тысячи образовательных веб-сайтов Finalsite
17.01.2022
Что такое SASE?