Главная
  • 26 апреля 2016
  • 0
  • 616
  • Автор:

PowerShell и хранимого в Google Docs вредоносного ПО для инфицирования целей трояном Loziak. Он стал известен год назад, когда компания Symantec проводила обзор групп кибершпионажа, использовавших Loziak для наблюдения за компаниями из энергетического сектора в странах Среднего Востока.

Loziak предназначен для кражи информации и регулярно используется для сбора данных, которые позднее могут применяться при атаках. Аналитики из компании FireEye наткнулись на новую угрозу, анализируя собираемую телеметрию. В ней используется вредоносный код на языке JavaScript, находящейся на сервере в Польше.

Когда пользователя браузера Internet Explorer заманивают на сайт с этим кодом, в действие вступает эксплоит, задействующий уязвимость CVE-2014-6332 и запускающий скрипт VBScript в Internet Explorer. Уязвимы версии IE от 3 до 11, в результате чего атакующие получают на компьютерах жертв доступ к «режиму Бога» (GodMode). Далее используются скрипты Windows PowerShell для скачивания исполняемого файла Loziak по ссылке на Google Docs.

Троян устанавливается и начинает собирать данные об имени компьютера, процессоре, размере оперативной памяти, стране и наличии антивируса. Сведения отправляются на удалённый сервер. Стоит отметить, что автоматические инструменты сканирования на серверах Google не помогли обнаружить хранящийся в Google Docs вредоносный код.

comments powered by HyperComments

Поделитесь страницей в социальных сетях, что бы рассказать вашим друзьям:
1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
Похожие статьи
Коментарии