Aj-aj....Platforma Microsoftu dostarczała złośliwe oprogramowanie!

Malware bezplikowy to szkodnik, którego niezwykle ciężko wykryć. To właśnie on odpowiada za infekcję MSBuild.

Microsoft Build Engine, czyli MSBuild, to stworzona przez giganta IT platforma programistyczna o otwartym kodzie źródłowym. Jej głównym celem jest pomoc programistom w opracowaniu aplikacji na dowolny system Windows. W tym celu musi został dostarczona z plikiem projektu schematu XML informującym go, jak zautomatyzować proces kompilacji (kompilacja, pakowanie, testowanie i wdrażanie). Przestępcy skompilowali złośliwy kod na maszynach ofiar, zaś do ataku wykorzystali trudny do wykrycia przez systemy bezpieczeństwa malware bezplikowy, umieszczony w środku pliku konfiguracyjnego XML. Został on wykryty przez badaczy z Anomali Threat Research.

Zagranie było tak sprytne, że wciąż nie można określić metody dystrybucji. Celem szkodnika było uruchomienie trojanów Remcos lub RedLine Stealer. Mariusz Politowicz z firmy Marken, dystrybutora Bitdefender w Polsce, tłumaczy:

Bezplikowe, szkodliwe oprogramowanie nie zapisuje na urządzeniach ofiar rzeczywistych plików, a na dyskach twardych zainfekowanych urządzeń nie pozostawia fizycznych śladów po złośliwych ładunkach. Nie wszystkie programy antywirusowe radzą sobie z wykrywaniem tego typu zagrożeń. Dlatego podczas wyboru aplikacji bezpieczeństwa warto zapoznać się z wynikami niezależnych badań przeprowadzanych przez AV-Test czy AV-Comparatives właśnie pod kątem wykrywalności bezplikowego malware

Według VirusTotal, próbki złośliwego oprogramowania użyte w kampanii ujawnionej przez Anomali Threat Research nie są wykrywane, albo są odnajdywane przez nieliczne silniki chroniące przed złośliwym oprogramowaniem. Cyberprzestępcy zapoczątkowali atak w ubiegłym miesiącu. Byli aktywni jeszcze dwa dni przed ujawnieniem kampanii przez Anomali Threat Research. Uruchomiony trojan może być wykorzystany do szpiegowania użytkowników - w tym do zbierania poświadczeń, migawek ekranu, rejestrowania naciśnięć klawiszy czy wyłączania antywirusa chroniącego przed złośliwym oprogramowaniem.

Zobacz również:

  • Oszustwa na Instagramie - oto pięć sposobów. Poznaj je i uniknij wpadki
  • Microsoft wprowadza logowanie bez haseł. Jak z niego skorzystać?

Źródło: Bitdefender