Norton LifeLock фишингі құрбандарды қашықтан қол жеткізу трояндарымен жұқтырады

Жақында фишингтік науқанның артында тұрған шабуылдаушылар құрбандарды өз жүйелеріне қашықтан қол жеткізу троянын (Rat) орнату үшін алдап алу үшін жалған Norton LifeLock құжатын пайдаланды.

Инфекция зиянды макростары бар Microsoft Word құжатынан басталады. Дегенмен, пайдаланушыларға әдепкі бойынша өшірілген макростарды қосу үшін науқанның артында тұрған қауіп актері жалған құпия сөзбен қорғалған Norton LifeLock құжатын пайдаланды.

Жәбірленушілерден макростарды қосу және оған қол жеткізу үшін құжатты қамтитын фишингтік электрондық поштада берілген құпия сөзді енгізу сұралады. Науқанды ашқан Palo Alto Network 42 блогы сонымен қатар пароль тілқатысу терезесі тек «C» бас немесе кіші әріптермен жазылатынын анықтады. Құпия сөз қате болса, зиянды әрекет жалғаса бермейді.

  • Фишинг шабуылының құрбаны акуланың танк түйіні құлады
  • Зиянды файлдар электрондық пошта қауіпсіздік өнімдерімен жазылудан бас тартылады
  • Microsoft жаңа зұлымдық, зиянды бағдарлама шабуылы корпорациясын ашады

Пайдаланушы дұрыс құпия сөзді енгізбесе, макрос орындауды жалғастырады және заңды қашықтан басқару бағдарламалық құралын, Бағдарлама менеджерін орнататын пәрмен жолын құрады.

Құрылыстың табандылығы

Екілік егеуқұйрық Windows Installer қызметіндегі «msiexec» пәрмені арқылы пайдаланушының компьютеріне жүктеледі және орнатылады.

В жаңа есеп, Palo Alto Networks Unit 42 зерттеушілері MSI пайдалы жүктемесі ешқандай ескертусіз орнатылатынын және Windows Temp қалтасына PowerShell сценарийін қосатынын түсіндірді. Бұл сақтау үшін пайдаланылады және сценарий менеджер бағдарламасын орнату үшін сақтық көшірме шешімінің рөлін атқарады.

Сценарий жұмысын жалғастырмас бұрын, ол жүйеде антивирустың Avast немесе AVG орнатылғанын тексереді. Егер солай болса, онда ол жәбірленушінің компьютерінде жұмысын тоқтатады. Сценарий бұл бағдарламалардың компьютерде жоқ екенін анықтаса, ол желіні қолдау менеджері талап ететін файлдарды кездейсоқ атауы бар қалтаға қосады, сонымен қатар "табандылық үшін" деп аталатын негізгі орындалатын файл presentationhost.exe үшін тізілім кілтін жасайды.

Жіберіп алма:  Әзірге Windows 10 жүйесінің басқа жаңартуы ақаулық тудыруда, бірақ Microsoft бұл туралы ештеңе істемейді

42-бөлім бірінші рет науқанды қаңтардың басында ашты және ғалымдар 2019 жылдың қараша айынан бастап бұл науқан үлкен операцияның бөлігі екенін көрсететін сілтемені бақылап жатыр.

  • Құрылғыларыңызды ең жақсы антивирустық бағдарламалармен қорғаңыз

Арқылы BleepingComputer

желілер

Мақаланы бағалаңыз
Translate »