Эта атака использует методы социальной инженерии и многоуровневую структуру выполнения кода. Чтобы избежать ее, может быть достаточно обычной внимательности. Об этом пишет Cyber Press.
Смотрите также Иранское приложение для молитвы взломали, чтобы разослать антиправительственные уведомления 5 миллионам людей
Как работает схема?
Исследователи в сфере кибербезопасности обнаружили масштабную кампанию, которая использует фальшивый сайт для загрузки мессенджера Telegram с целью распространения вирусов. Злоумышленники используют тактику тайпосквотинга – регистрацию доменных имен, которые очень похожи на официальные, например, telegrarn[.]com, telegrgam[.]com, telefgram[.]com или tejlegram[.]com. Они копируют дизайн официального портала Telegram, что вводит пользователей в заблуждение и заставляет их загружать вредоносный инсталлятор.
Файл, который предлагают скачать, называется tsetup-x64.6.exe, что полностью соответствует стандартной логике наименования официальных обновлений мессенджера.
Что делает вирус?
После запуска этого файла начинается сложная цепь инфицирования, целью которого является обход систем обнаружения и установление долгосрочного доступа к компьютеру жертвы.
На первом этапе программа проводит проверку запущенных процессов через командную строку, ища специфические приложения, в частности процесс 0tray.exe, что может свидетельствовать о работе средств защиты или наличие других инфекций в системе.
Одним из самых опасных шагов является попытка нейтрализовать встроенную защиту Windows. Вредоносный код выполняет команду PowerShell, которая добавляет все диски системы в список исключений Windows Defender. Это фактически останавливает антивирусное сканирование на этих накопителях, позволяя вирусу работать абсолютно незаметно для стандартных инструментов безопасности.
Технология выполнения основного вредоносного компонента также отличается высоким уровнем мастерства. Вместо прямого запуска подозрительных файлов, хакеры используют легитимную системную утилиту rundll32.exe для запуска библиотеки AutoRecoverDat.dll.
Сама библиотека не содержит вирусного кода в открытом виде. Она считывает данные из XML-файла под названием GPUCache.xml, где спрятан зашифрованный код. В процессе работы библиотека извлекает эти данные и реконструирует полноценный вредоносный объект непосредственно в оперативной памяти компьютера.
Такой подход, известный как безфайловое исполнение, значительно усложняет работу антивирусов, поскольку на жестком диске не создается явных опасных файлов.
После активации в памяти вирус устанавливает связь с сервером управления по IP-адресу 27.50.59.77 через порт 18852, пишет GBHackers. Это позволяет нападающим удаленно отправлять команды на зараженное устройство, загружать обновленные компоненты и поддерживать постоянный контроль над системой.
Анализ сетевого трафика показал, что программа регулярно получает новые модули, что дает возможность хакерам изменять функционал вируса без необходимости повторной загрузки начального инсталлятора пользователем.
Что делать?
Специалисты отмечают, что для защиты необходимо пользоваться только официальными источниками программного обеспечения. Для этого стоит внимательно проверять страницы, на которые вы заходите, буквально читая каждую букву. Не стоит загружать что-либо из рекламных публикаций в соцсетях или Google. Зато пользуйтесь обычным Google-поиском для перехода на сайты – легитимные адреса всегда выдаются первыми.
Кроме того, стоит иметь надежные системы безопасности, способны распознавать подозрительное поведение процессов в системе. Обновляйте ваш антивирус регулярно, если это не происходит автоматически.