Преступники захватывают антивирусное программное обеспечение для доставки вредоносного ПО
вычисления techradar.com Новости

Преступники захватывают антивирусное программное обеспечение для доставки вредоносного ПО

2 ноября 2022 г.

Известный китайский злоумышленник злоупотребил уязвимостью в известной антивирусной программе для доставки вредоносного ПО. к высокопоставленным целям в Японии.

Исследователи кибербезопасности «Лаборатории Касперского» недавно обнаружили Cicada, также известная как APT10, обманным путем заставляет сотрудников различных организаций в Японии — от медиакомпаний до правительственных учреждений — загружать скомпрометированную версию K7Security Suite компании.

Те, кто попадется на эту уловку, получат LODEINFO, трехлетнюю вредоносную программу< /a> способный, среди прочего, выполнять PE-файлы и шелл-код, загружать и скачивать файлы, завершать процессы и отправлять списки файлов.

Загрузка неопубликованных DLL

Вредоносная программа распространяется с помощью так называемой загрузки неопубликованных DLL. Во-первых, жертву нужно направить на фальшивую страницу загрузки K7Security Suite, откуда они будут скачивать программное обеспечение. Сам исполняемый файл установки не будет вредоносным — это будет настоящее антивирусное решение. Однако в той же папке может находиться вредоносная DLL с именем K7SysMn1.dll.

Во время обычной установки исполняемый файл будет искать файл с именем K7SysMn1.dll, который обычно не является вредоносным. Если он найдет его в той же папке, где он находится, он не будет искать дальше и вместо этого запустит этот файл.

Подробнее

> Одна из самых любимых Windows инструменты могут представлять огромную угрозу безопасности

> Windows Защитник взломан для развертывания этой опасной программы-вымогателя

> Вот краткое изложение из лучших служб защиты конечных точек прямо сейчас

Затем злоумышленники создают вредоносный файл, содержащий вредоносное ПО LODEINFO, и присваивают ему имя K7SysMn1.dll. Другими словами, именно антивирус загружает вредоносное ПО на целевую конечную точку. А учитывая, что его загружает законное приложение безопасности, другое программное обеспечение безопасности может не определить его как вредоносное.

Исследователи не смогли определить, сколько организаций стали жертвами этой атаки или какова конечная цель кампании. Однако, учитывая цели, наиболее очевидным ответом является кибершпионаж.

Загрузка файлов .DLL не является новым подходом. В августе 2022 года сообщалось, что Защитник Windows был использован для загрузки неопубликованного LockBit 3.0, печально известного варианта программы-вымогателя.

Через: BleepingComputer

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE