Aj-aj....Platforma Microsoftu dostarczała złośliwe oprogramowanie!
-
- 17.05.2021, godz. 16:52
Malware bezplikowy to szkodnik, którego niezwykle ciężko wykryć. To właśnie on odpowiada za infekcję MSBuild.
Microsoft Build Engine, czyli MSBuild, to stworzona przez giganta IT platforma programistyczna o otwartym kodzie źródłowym. Jej głównym celem jest pomoc programistom w opracowaniu aplikacji na dowolny system Windows. W tym celu musi został dostarczona z plikiem projektu schematu XML informującym go, jak zautomatyzować proces kompilacji (kompilacja, pakowanie, testowanie i wdrażanie). Przestępcy skompilowali złośliwy kod na maszynach ofiar, zaś do ataku wykorzystali trudny do wykrycia przez systemy bezpieczeństwa malware bezplikowy, umieszczony w środku pliku konfiguracyjnego XML. Został on wykryty przez badaczy z Anomali Threat Research.
Zagranie było tak sprytne, że wciąż nie można określić metody dystrybucji. Celem szkodnika było uruchomienie trojanów Remcos lub RedLine Stealer. Mariusz Politowicz z firmy Marken, dystrybutora Bitdefender w Polsce, tłumaczy:
Bezplikowe, szkodliwe oprogramowanie nie zapisuje na urządzeniach ofiar rzeczywistych plików, a na dyskach twardych zainfekowanych urządzeń nie pozostawia fizycznych śladów po złośliwych ładunkach. Nie wszystkie programy antywirusowe radzą sobie z wykrywaniem tego typu zagrożeń. Dlatego podczas wyboru aplikacji bezpieczeństwa warto zapoznać się z wynikami niezależnych badań przeprowadzanych przez AV-Test czy AV-Comparatives właśnie pod kątem wykrywalności bezplikowego malware
Według VirusTotal, próbki złośliwego oprogramowania użyte w kampanii ujawnionej przez Anomali Threat Research nie są wykrywane, albo są odnajdywane przez nieliczne silniki chroniące przed złośliwym oprogramowaniem. Cyberprzestępcy zapoczątkowali atak w ubiegłym miesiącu. Byli aktywni jeszcze dwa dni przed ujawnieniem kampanii przez Anomali Threat Research. Uruchomiony trojan może być wykorzystany do szpiegowania użytkowników - w tym do zbierania poświadczeń, migawek ekranu, rejestrowania naciśnięć klawiszy czy wyłączania antywirusa chroniącego przed złośliwym oprogramowaniem.
Zobacz również:
- Wszystkie numery, których nie powinno się odbierać [AKTUALIZACJA]
- Nie daj się wykorzystać. Zachowaj prywatność w sieci
Źródło: Bitdefender







