Исследователи из западной ИБ-компании HarfangLab выявили новую кампанию, распространяющую вредоносный загрузчик Hijack Loader с использованием легитимных сертификатов цифровой подписи. В «Газинформсервисе» рассказали, как защититься от подобных атак.
Злонамеренная активность зафиксирована в начале октября текущего года. Цель атаки — установка программы для кражи данных под названием Lumma.
Hijack Loader распространяется через загрузку поддельных файлов под видом пиратского программного обеспечения или фильмов. Новые версии атак направляют пользователей на фальшивые CAPTCHA-страницы, где предлагается ввести и запустить вредоносную команду PowerShell, загружающую заражённый архив.
Архив, который скачивают жертвы, содержит как легитимный исполняемый файл, так и вредоносный DLL, загружающий Hijack Loader. Вредоносный файл расшифровывает и выполняет закодированные данные, предназначенные для загрузки и запуска инфостилера.
С октября 2024 года злоумышленники начали использовать подписанные бинарные файлы вместо DLL, чтобы избежать обнаружения антивирусными программами. Как сообщают эксперты, сертификаты, использовавшиеся для подписания вредоносного ПО, уже были отозваны.
«Распространение вредоносного ПО через установку "пиратских" файлов — уже устоявшийся вид кибератаки. Мы давно убедились, что установка файлов с непроверенного источника под видом подлинных не гарантирует легитимность установленного ПО, в некоторых случаях — даже при наличии цифровой подписи.
Подобные файлы требуют дальнейшего наблюдения за их активностью и вызываемыми процессами. С данной задачей прекрасно справится платформа расширенной аналитики Ankey ASAP, позволяющая анализировать поведение пользователей и сущностей, а также использование легитимного ПО в злонамеренных целях», — говорит Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».
В рамках SOC Forum 2025 портал Cyber Media взял интервью у Андрея Жданухина, руководителя группы аналитики L1 GSOC компании «Газинформсервис» — как будет развиваться SOC в ближайшие годы на фоне бума технологий ИИ?
Google рассказали, как будет защищать пользователей от атак на ИИ-агентов внутри браузера.
Журналисты выяснили, что продажа нелегальных SIM-карт остаётся массовым бизнесом, несмотря на запреты и штрафы.
Новая версия «Гарда Anti-DDoS» уменьшает риск простоя ИТ-сервисов и повышает точность обнаружения DDoS-атак за счет более широкого охвата сценариев и понятной классификации трафика.
ASUS сообщила о киберинциденте, который затронул одного из её внешних поставщиков.
Депутаты приняли поправки, обязывающие операторов платёжной инфраструктуры передавать Росфинмониторингу данные обо всех переводах, проходящих через Систему быстрых платежей и НСПК.
Железнодорожные компании в Великобритании временно приостановили движение поездов после того, как в сети появилось изображение якобы обрушенного моста.
Журналист Simon Fondrie-Teitler разобрался в том, как работает Dekota - новый гаджет от Kohler за 600 долларов плюс подписка.
Исследователи Trend Micro обнаружили GhostPenguin - редкий многопоточный бекдор под Linux, который долгое время проходил мимо любых средств детектирования.
Еврокомиссия вынесла первое в истории решение по DSA и назначила X* штраф в размере 120 миллионов евро.
