Вредоносный макрос в документах Office нашёл новые способы избежать обнаружения
Создатели вредоносного ПО являются одними из самых талантливых программистов, всегда находя возможность усложнить жизнь пользователям и специалистам по цифровой безопасности. В результате сетевые угрозы постоянно эволюционируют и принимают новые формы. Об одной из них рассказывает американская компания Zscaler.
Анализируя недавние примеры вредоносного кода, эксперты наткнулись на опасные документы Microsoft Office, в которых применялся макрос с методами социальной инженерии и противостоящий механизмам обнаружения. Использовалась обфускация (запутывание) кода для усложнения обнаружения и анализа вредоносного приложения.
Несмотря на это, в Zscaler смогли заглянуть внутрь кода. Макрос ищет в системах не только антивирусные приложения, но и виртуальные машины. Он использует три старых метода сканирования на наличие виртуальных машин и песочниц и интерфейс Windows Management Instrumentation (WMI).
Также в Zscaler обнаружено два новых трюка. Во-первых, просматривается список недавно открытых файлов Office. Если у инфицированной цели было меньше трёх файлов, выполнение вредоносной программы прекращалось. Причина - тестовые системы используют чистые версии операционной системы без следов активности пользователей. Второй трюк - использование сервиса Maxmind GeoIP. Проверялся IP-адрес пользователя и сравнивался со списком адресов фирм сетевой безопасности, датацентров и прочих сервисов анализа сетевых угроз.
В случае прохождения проверок Zscaler скачивает на инфицированные компьютеры трояны Matsnu, Nitol и приложение-вымогатель Nymaim.
Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.
После прочтения материала " Вредоносный макрос в документах Office нашёл новые способы избежать обнаружения ", можно просмотреть форум и поискать темы по данной игре.
Фильмы |
Парней 1337 
Девушек 472 
