Исследователи из западной ИБ-компании HarfangLab выявили новую кампанию, распространяющую вредоносный загрузчик Hijack Loader с использованием легитимных сертификатов цифровой подписи. В «Газинформсервисе» рассказали, как защититься от подобных атак.
Злонамеренная активность зафиксирована в начале октября текущего года. Цель атаки — установка программы для кражи данных под названием Lumma.
Hijack Loader распространяется через загрузку поддельных файлов под видом пиратского программного обеспечения или фильмов. Новые версии атак направляют пользователей на фальшивые CAPTCHA-страницы, где предлагается ввести и запустить вредоносную команду PowerShell, загружающую заражённый архив.
Архив, который скачивают жертвы, содержит как легитимный исполняемый файл, так и вредоносный DLL, загружающий Hijack Loader. Вредоносный файл расшифровывает и выполняет закодированные данные, предназначенные для загрузки и запуска инфостилера.
С октября 2024 года злоумышленники начали использовать подписанные бинарные файлы вместо DLL, чтобы избежать обнаружения антивирусными программами. Как сообщают эксперты, сертификаты, использовавшиеся для подписания вредоносного ПО, уже были отозваны.
«Распространение вредоносного ПО через установку "пиратских" файлов — уже устоявшийся вид кибератаки. Мы давно убедились, что установка файлов с непроверенного источника под видом подлинных не гарантирует легитимность установленного ПО, в некоторых случаях — даже при наличии цифровой подписи. Подобные файлы требуют дальнейшего наблюдения за их активностью и вызываемыми процессами. С данной задачей прекрасно справится платформа расширенной аналитики Ankey ASAP, позволяющая анализировать поведение пользователей и сущностей, а также использование легитимного ПО в злонамеренных целях», — говорит Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».
