Троянец PlugRAT маскируется под отладчик Microsoft, чтобы обойти ваш антивирус

Троянец PlugRAT маскируется под отладчик Microsoft, чтобы обойти ваш антивирус

2 марта 2023 г.

Были замечены хакеры, которые маскировали трояна удаленного доступа PlugRAT под отладчик Microsoft, чтобы обойти антивирус. решений и взломать целевые конечные точки.

Эксперты по кибербезопасности из Trend Micro недавно обнаружили неустановленного злоумышленника, использующего x64dbg для доставки трояна. x64dbg — это инструмент отладки с открытым исходным кодом, который, как утверждается, довольно популярен в сообществе разработчиков. Обычно он используется для проверки кода режима ядра и пользовательского режима, аварийных дампов или регистров ЦП.

Однако здесь он используется в атаке, известной как неопубликованная загрузка DLL.

Непонятные антивирусные инструменты

Для правильной работы программы необходим определенный файл .DLL. Если существует несколько DLL-файлов с одинаковым именем, он сначала запустит тот, который находится в той же папке, что и исполнительный файл, что и используют хакеры. Предоставляя модифицированный файл DLL вместе с программой, они гарантируют, что законное программное обеспечение в конечном итоге вызовет вредоносное ПО.

В этом случае программное обеспечение имеет действительную цифровую подпись, которая может «запутать» некоторые инструменты безопасности, — пояснили исследователи. Это позволяет злоумышленникам оставаться незамеченными, сохранять устойчивость, повышать привилегии и обходить ограничения на выполнение файлов.

"Обнаружение и анализ атаки вредоносного ПО с помощью отладчика с открытым исходным кодом x32dbg.exe [32-разрядный отладчик для x64dbg] показывает нам, что сторонняя загрузка DLL по-прежнему используется сегодня злоумышленниками, потому что это эффективный способ обойти меры безопасности и получить контроль над целевой системой», — отчет гласит.< /p>

"Злоумышленники продолжают использовать этот метод, поскольку он использует фундаментальное доверие к законным приложениям", — говорится в отчете. «Эта техника по-прежнему может использоваться злоумышленниками для доставки вредоносного ПО и получения доступа к конфиденциальной информации. до тех пор, пока системы и приложения продолжают доверять динамическим библиотекам и загружать их."

Лучший способ защититься от таких угроз – убедиться, что вы знаете, какие программы вы запускаете, и что вы доверяете тому, кто поделился исполняемый. Trend Micro считает, что атаки с боковой загрузкой останутся актуальным направлением атак на долгие годы, поскольку они используют «фундаментальное доверие к законным приложениям».

«Эта техника по-прежнему может использоваться злоумышленниками для доставки вредоносного ПО и получения доступа к конфиденциальной информации, пока системы и приложения продолжают доверять динамическим библиотекам и загружать их; они пришли к выводу.

Через: Реестр


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE