Хакеры создали нового USB-червя для более эффективных атак
В недавних атаках Gamaredon был обнаружен новый USB-червь, облегчающий сбор информации и шпионаж. Юлия Парфенова, менеджер направления «контроль целостности» Efros DefOps, рассказала, как обнаружить USB-червя.
Эксперты по кибербезопасности нарекли зловреда – LitterDrifter, он способен обеспечить максимальный охват целей в выбранном регионе, пишет Anti-malware.ru. Проведенный в Check Point анализ показал, что LitterDrifter незамысловат и состоит из двух основных компонентов: один отвечает за самораспространение через USB-накопители, а другой – за связь с C2-сервером. Код вредоноса сильно обфусцирован; на диск он записывается в папку «Избранное», как скрытый файл trash.dll, хотя на самом деле это VBS-сценарий. Для маскировки создается ярлык.
Основным назначением VBS-скрипта являются расшифровка и запуск спредера и C2-модуля, а также закрепление в системе. Вначале соответствующий модуль проверяет папку %TEMP% на наличие файла конфигурации C2. Это еще и проверка факта заражения. Обнаружив нужный файл, вредонос продолжает выполняться, как запланированная задача. Если конфигурационного файла нет, скрипт генерирует произвольный поддомен для вшитого в код домена и отправляет запрос WMI: select * from win32_pingstatus where address='Write.ozaharso.ru'. Из ответа сервера извлекается IP-адрес и сохраняется в новом конфигурационном файле. На его основе создается URL следующего формата: http:///jaw/index.html=?. Для C2-коммуникаций используется кастомный User-Agent с информацией о зараженной машине. В ответ LitterDrifter может получить пейлоад. Зловред также вооружен счетчиком отказов C2. Если его выставить на «2», скрипт перейдет на резервный канал связи – Telegram.
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» рассказала, как обнаружить USB-червя:
– Обнаружить вредоносный файл можно на первых шагах. Например, с помощью функции контроля целостности, будет обнаружено появление нового файла в контролируемой папке и изменение списка задач в планировщике. Соответственно, чем чаще проходят проверки на целостность системы, тем быстрее будет обнаружен червь. Очень важно уделять должное внимание защите инфраструктуры, так как это может привести не только к потере капитала, но и к необратимым последствиям, как для репутации компании, так и для пользователей.
похожие материалы
Эксперт Кирилл Добрынин рассказал, как снизить расходы на ИИ-инфраструктуру
Рост корпоративных ИИ-сервисов приводит к увеличению операционных расходов на сопровождение инфраструктуры, зачастую превышающих первоначальные инвестиции в технологии, в итоге компаниям сложно выйти в положительный баланс от внедрения ИИ.
HeadHunter будет выплачивать 500 тыс. рублей в программе поиска уязвимостей
HeadHunter, ведущая российская платформа онлайн-рекрутинга, объявила о запуске открытой программы багбаунти на площадке Standoff Bug Bounty.
«Газинформсервис» и РЕД СОФТ подтвердили совместимость Ankey IDM и РЕД АДМ Промышленная редакция 2.0
Компании «Газинформсервис» и «РЕД СОФТ» подтвердили совместимость программного комплекса управления жизненным циклом учётных записей Ankey IDM и системы централизованного управления ИТ-инфраструктурой РЕД АДМ Промышленная редакция 2.
BearPass и «Группа Астра» расширяют сотрудничество для импортонезависимого управления доступами
Компания BearPass, российский разработчик корпоративного менеджера паролей, и «Группа Астра» объявляют об углублении технологического сотрудничества.
AI-агент опубликовал «разоблачение» на разработчика: скандал вокруг Scott Shambaugh вышел за пределы open source
В сообществе open source разгорелся конфликт после того, как на одного из участников, Scott Shambaugh, был опубликован критический материал, созданный ИИ-агентом.
Apple срочно закрыла zero-day: уязвимость использовалась в «чрезвычайно сложных» атаках
Apple выпустила обновления безопасности для iOS, iPadOS, macOS и visionOS, устраняющие zero-day-уязвимость, которая, по данным компании, уже применялась в «чрезвычайно сложных» целевых атаках.
500 000 аккаунтов под угрозой: вредоносные Chrome-расширения перехватывают страницы ВК
Исследователи сообщили о масштабной кампании, в рамках которой вредоносные расширения для Google Chrome заразили более 500 000 пользователей и использовались для перехвата аккаунтов ВКонтакте.
Обзор кибератак и уязвимостей за прошедшую неделю 9 - 13 февраля 2026
Редакция Cyber Media собрала для вас главные события уходящей недели: среди нашумевших инфоповодов - снижение числа IT-преступлений в России, крупная ошибка в системе криптовалютной биржи Bithumb, приведшая с колоссальным финансовым последствиям, уязвимость в libpng с 30-летней историей, растущие темпы кибератак на инженеров, и неутешительные прогнозы Microsoft про быструю автоматизацию рутинной работы ИИ.
Дьявольская мышь за $44: как взломать компьютер за несколько секунд
Исследователи продемонстрировали устройство EvilMouse - внешне обычную USB-мышь, которая при подключении к компьютеру автоматически выполняет вредоносные команды и может открыть злоумышленнику доступ к системе с повышенными правами.
Фальшивые AI-ассистенты в Chrome заразили 260 тыс. браузеров через скрытые iframes
Исследователи из платформы безопасности LayerX обнаружили крупномасштабную кампанию вредоносных расширений для Google Chrome, замаскированных под «помощников на базе искусственного интеллекта».