Aj-aj....Platforma Microsoftu dostarczała złośliwe oprogramowanie!

Microsoft Build Engine, czyli MSBuild, to stworzona przez giganta IT platforma programistyczna o otwartym kodzie źródłowym. Jej głównym celem jest pomoc programistom w opracowaniu aplikacji na dowolny system Windows. W tym celu musi został dostarczona z plikiem projektu schematu XML informującym go, jak zautomatyzować proces kompilacji (kompilacja, pakowanie, testowanie i wdrażanie). Przestępcy skompilowali złośliwy kod na maszynach ofiar, zaś do ataku wykorzystali trudny do wykrycia przez systemy bezpieczeństwa malware bezplikowy, umieszczony w środku pliku konfiguracyjnego XML. Został on wykryty przez badaczy z Anomali Threat Research.

Zagranie było tak sprytne, że wciąż nie można określić metody dystrybucji. Celem szkodnika było uruchomienie trojanów Remcos lub RedLine Stealer. Mariusz Politowicz z firmy Marken, dystrybutora Bitdefender w Polsce, tłumaczy:

Bezplikowe, szkodliwe oprogramowanie nie zapisuje na urządzeniach ofiar rzeczywistych plików, a na dyskach twardych zainfekowanych urządzeń nie pozostawia fizycznych śladów po złośliwych ładunkach. Nie wszystkie programy antywirusowe radzą sobie z wykrywaniem tego typu zagrożeń. Dlatego podczas wyboru aplikacji bezpieczeństwa warto zapoznać się z wynikami niezależnych badań przeprowadzanych przez AV-Test czy AV-Comparatives właśnie pod kątem wykrywalności bezplikowego malware

Według VirusTotal, próbki złośliwego oprogramowania użyte w kampanii ujawnionej przez Anomali Threat Research nie są wykrywane, albo są odnajdywane przez nieliczne silniki chroniące przed złośliwym oprogramowaniem. Cyberprzestępcy zapoczątkowali atak w ubiegłym miesiącu. Byli aktywni jeszcze dwa dni przed ujawnieniem kampanii przez Anomali Threat Research. Uruchomiony trojan może być wykorzystany do szpiegowania użytkowników - w tym do zbierania poświadczeń, migawek ekranu, rejestrowania naciśnięć klawiszy czy wyłączania antywirusa chroniącego przed złośliwym oprogramowaniem.

Źródło: Bitdefender