В ходе спам-кампании используется ряд трюков для обмана антивирусных решений, основанных на проверке сигнатур.
В трояне Adwind, ранее использовавшемся в атаках на промышленные предприятия по всему миру, появился набор новых инструментов, предназначенных для обхода антивирусных программ, передает издание ZDNet.
Данный троян, также известный как AlienSpy, JSocket и jRat, содержит множество различных функций. Adwind способен собирать информацию о ПК и считывать нажатия клавиш, а также похищать учетные данные, записывать видео, звук и делать скриншоты.
В августе текущего года исследователи по кибербезопасности из компании Cisco Talos зафиксировали новую спам-кампанию, в ходе которой распространялся Adwind 3.0, один из последних обнаруженных вариантов трояна. Кампания нацелена на компьютеры под управлением ОС Windows, Linux и macOS с особым упором на жертв в Турции и Германии.
Особый интерес представляет новая функция внедрения кода Dynamic Data Exchange (DDE), целью которой является компрометация Microsoft Excel и обход антивирусных решений.
Злоумышленники отправляют вредоносные сообщения, содержащие вложения в формате .CSV или .XLT, которые открываются Excel по умолчанию.
По словам специалистов, новый метод был реализован в целях обфускации. В начале файла нет заголовка, который нужно проверить, что может, в свою очередь, запутать антивирусное программное обеспечение, которое ожидает, что символы ASCII будут присутствовать в формате CSV.
Вместо того, чтобы обнаруживать файл как вредонос, антивирусное программное обеспечение может просто рассматривать файл как поврежденный.
Затем вредонос создает скрипт Visual Basic, который использует bitasdmin. Инструмент bitasdmin, разработанный Microsoft, является средством командной строки для создания или загрузки заданий и контроля их выполнения. В конечном итоге bitasdmin загружает конечную вредоносную нагрузку, файл архива Java, который содержит программу Allatori Obfuscator, устанавливающую Adwind.