ПРИКАЧЕН ФАЙЛ ИЗГРАЖДА RANSOMWARE DOWNLOADER ОТ КАРТИНКА НА SUPERMARIO
Беше открита злонамерена електронна таблица, която изгражда команда на PowerShell от отделни пиксели в изтеглено изображение на Mario от Super Mario Bros. Когато бъде изпълнена, тази команда ще изтегли и инсталира злонамерения софтуер GandCrab Ransomware и друг зловреден софтуер.
Тази атака работи, когато получателите получат имейл с известие за успешно плащане, насочен към хора от Италия.
Тези имейли съдържат прикачен файл с имена, подобни на “F.DOC.2019 259 SPA.xls“, който при отваряне, казва на потребителя да разреши съдържанието, за да вижда правилно документа.
След като съдържанието е активирано, неговите макроси ще бъдат задействани, за да проверят дали компютърът е конфигуриран да използва региона на Италия. Ако не, той ще излезе от електронната таблица и нищо друго няма да се случи.
Макросът изглежда така:
Ако те се намират в Италия, се изтегля следното изображение на Марио. Изображението по-долу е леко променено, така че да не може да се използва за злонамерени цели.
Според изследователи от екипа на Ян Прат, които са анализирали тази атака, след като изображението е изтеглено, скриптът ще извлече различни пиксели от изображението, за да възстанови командата PowerShell, която след това ще бъде изпълнена.
“Горепосоченият код намира следващото ниво на код от синия и зеления канал от пиксели в малка област на изображението”, заяви Гаурав Бамби. “По-ниските битове на всеки пиксел се използват като корекции за тях и водят до минимални различия спрямо възприеманото изображение. Изпълняването на това представя още по-силно объркано PowerShell”
Тази команда PowerShell ще изтегли зловреден софтуер от отдалечен сайт, който след това ще изтегли още зловреден софтуер, като GandCrab Ransomware.
Стеганографските атаки не са нови и се използват по-често, за да се избегне откриването от програми за сигурност. Съвсем наскоро бе открита кампания за злоупотреба, която използва стеганография за инсталиране на полезен товар, скрит в рекламни изображения.
Както винаги, много е важно да бъдете внимателни, когато става въпрос за прикачени файлове, тъй като те са силно използван метод за разпространение на зловреден софтуер. За да бъдете обезопасени, винаги сканирайте прикачените файлове, преди да ги отворите, и бъдете двойно подозрителни, ако съдържат макроси, които трябва да бъдат активирани, за да виждат документа правилно. Разбира се, продукти като Adaptive Defense на Panda Security стопират този тип атаки още в зародиш чрез пълен одит на стартираните процеси в компютъра. Подобен тип атаки се обезвреждат успешно още на първата стъпка.
Източник: По материали от интернет