Vikii

Новый вредонос загружает Cobalt Strike через PNG-изображение с Imgur

В теме 1 сообщение

Исследователь безопасности, использующий псевдоним Arkbird, рассказал о новом вредоносном ПО, которое использует Word-файлы с макросами для загрузки PowerShell-скриптов с GitHub. Скрипт дополнительно загружает легитимный файл из сервиса хостинга изображений Imgur для декодирования полезной нагрузки Cobalt Strike на системах Windows.

Как пояснил Arkbird, вредоносная цепочка поставляется в виде встроенного макроса в устаревшем файле Microsoft Word (* .doc). При открытии документа Word запускается встроенный макрос, которые запускает powershell.exe и передает ему расположение PowerShell-скрипта, размещенного на GitHub. В однострочном скрипте есть инструкции по загрузке реального PNG-файла из сервиса хостинга изображений Imgur.

Хотя само это изображение может быть безобидным, значения его пикселей используются скриптом при вычислении полезной нагрузки следующего этапа. Алгоритм вычисления полезной нагрузки запускает цикл foreach для перебора значений пикселей в PNG-изображении и выполняет определенные арифметические операции для получения функциональных команд ASCII.

Декодированный скрипт выполняет полезную нагрузку Cobalt Strike. По словам Arkbird, полезная нагрузка действительно связывается с C&C-сервером через модуль WinINet для получения дальнейших инструкций.

Некоторые эксперты связали данный вид вредоноса с APT-группировкой MuddyWater (также известной как SeedWorm и TEMP.Zagros), впервые обнаруженной в 2017 году и в основном нацеленной на ближневосточные организации.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти