Хакеры-наемники разработали бэкдор PowerPepper для оперативной памяти Windows

Хакеры-наемники разработали бэкдор PowerPepper для оперативной памяти Windows

Alexander Antipov

Бэкдор способен удаленно выполнять вредоносный код и похищать конфиденциальную информацию.

image

Исследователи кибербезопасности из «Лаборатории Касперского» рассказали о новом бэкдоре, загружаемом в оперативную память Windows, который разработали «хакеры по найму» (Hackers for Hire, HfH). Бэкдор способен удаленно выполнять вредоносный код и похищать конфиденциальную информацию.

Вредоносное ПО, получившее название PowerPepper, связано с киберпреступной группировкой DeathStalker (ранее называвшейся Deceptikons). Участники данной группировки с 2012 года атакуют юридические фирмы и финансовые компании, расположенные в Европе и на Ближнем Востоке. Преступники начинают свои вредоносные кампании с целенаправленного фишинга, рассылая электронные письма с модифицированными LNK-файлами.

Инструмент для взлома получил такое название из-за того, что он полагается на стеганографические хитрости для доставки полезной нагрузки бэкдора в виде изображения папоротника или перца. Новый вид вредоносного ПО извлекается из поддельного документа Word и использует протокол «DNS поверх TLS» (DNS over TLS, DoT) в качестве канала связи для передачи зашифрованных вредоносных shell-команд с C&C-сервера.

В электронных письмах используются различные темы, такие как контроль выброса углеродных следов в атмосферу, бронирование поездок и текущая пандемия коронавирусной инфекции (COVID-19), а в документах Word есть баннеры с использованием социальной инженерии, призывающие пользователей включить макросы, что приводит к загрузке бэкдора.

Помимо использования макросов и LNK-файлов для развертывания вредоносного ПО, DeathStalker также прибегает к разным методам, позволяющим избежать обнаружения. Главными из них являются возможности скрыть рабочий процесс вредоносного выполнения во встроенных формах и свойствах объектов Word, а также использовать файлы формата Windows Compiled HTML Help в качестве архивов для вредоносов.

«В используемых методах и приемах нет ничего особенно сложного, но весь набор инструментов доказал свою эффективность, довольно хорошо скомпонован и демонстрирует решительные усилия по компрометации различных целей по всему миру», — отметили эксперты.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab