Обнаружен червь, распространяющий троян njRAT

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

Dendos

Пользователь

Dendos

Пользователь
15 Ноя 2017
127
102
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
qKmZSzRJiyY.jpg

Эксперты Trend Micro
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
об обнаружении червя, который распространяет свежую версию трояна Bladabindi (он же njRAT, Derusbi и Njw0rm). Данная версия угрозы получила идентификатор Worm.Win32.BLADABINDI.AA и представляет собой бесфайловую модификацию трояна, которая размножается через съемные накопители.

Напомню, что малварь njRAT существует как минимум с 2013 года. Троян построен на основе .NET Framework, способен предоставлять своим операторам удаленный доступ и полный контроль над зараженным устройством, использует динамический DNS и кастомный TCP протокол для связи с управляющими серверами.

ALpZSAHOvkk.jpg
Свежая версия Bladabindi, замеченная Trend Micro, скрывает свои копии на любых съемных накопителях, подключаемых к зараженной системе, а также создает в реестре запись AdobeMX, чтобы закрепиться на зараженном устройстве. С помощью этой записи и скрипта PowerShell малварь использует механизм reflective loading, что и позволяет угрозе оставаться бесфайловой, то есть вредоносная активность происходит в памяти устройства, не касаясь жестких дисков. Это позволяет затруднить обнаружение угрозы и работу защитных решений.

Также исследователи отмечают, что Bladabindi использует в работе язык AutoIt, который обнаруживается как в дроппере, так и в пейлоаде вредоноса. Это так же позволяет усложнить обнаружение.

Что именно является отправной точкой в распространении новой вариации Bladabindi, пока неясно. Но исследователи полагают, что RAT, как и ранее, распространяется при помощи фишинговых кампаний, и напоминают пользователям о необходимости сохранять бдительность и соблюдать «гигиену безопасности».
 

Вложения

Последнее редактирование модератором:
  • Лайк
Reactions: AnGel

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя