Магия: Как хакерите превръщат обикновен текст във вирус направо в паметта на компютъра ви
Атаката SHADOW#REACTOR, която не оставя следи...
Емил Василев преди 13 секунди 0 СподелиНай-четени
ТелефониЕмил Василев - 13:00 | 13.01.2026Samsung показа най-евтиния си 5G смарт телефон с 6-годишна поддръжка
ХардуерДаниел Десподов - 15:21 | 13.01.2026Край на големите бойлери: Компактни топлинни акумулатори завладяват частните домове през 2026 година
IT НовиниЕмил Василев - 21:11 | 13.01.2026Енергийната система на Съединени американски щати е на крачка от колапс – AI изразходва цялата сила и пита за още
Емил Василевhttps://www.kaldata.com/Хакерите стартираха нова акция, употребявайки многоетапна скица за заразяване, целяща да достави зловредния програмен продукт Remcos RAT – инструмент за дистанционно управление, който разрешава прикрит надзор на компрометирано устройство. Експертите на Securonix, които са разкрили офанзивата са ѝ дали условното означение SHADOW#REACTOR. Тя се отличава с комбинацията от скрити механизми за доставка и резистентен модел за отбягване на откриването ѝ.
Сценарият на заразяването се основава на поредното осъществяване на няколко съставния елемент, всеки от които е маскиран и взаимодейства с други звена от веригата. Всичко стартира със стартирането на прикрит Visual Basic скрипт, който се извършва посредством общоприетия систематичен съставен елемент на Windows – wscript.exe.
Този скрипт задейства PowerShell лоудър, който реализира достъп до външен сървър за елементи от потребния товар, показан като елементарен текст. Сегментите се сплотяват в паметта и се трансформират в кодиран зареждащ модул, който се извършва посредством предпазен съставен елемент, основан на.NET и се употребява за добиване на конфигурацията на Remcos RAT от далечен запас.
Последният стадий включва законния систематичен инструмент MSBuild.exe, прочут като един от известните LOLBin детайли, който заобикаля механизмите за сигурност, като употребява вградените принадлежности на операционната система. В резултат на това всички съставни елементи на зловредния програмен продукт се разполагат в системата, без да е належащо да се резервират изпълнимите файлове в отворен тип.
Според оценките на специалистите, акцията не е целенасочена, а по-скоро всеобща и с опортюнистичен метод. Основната цел са корпоративните мрежи и инфраструктурата на дребни и междинни предприятия.
Тактиката, употребена при офанзивата е типична за така наречен брокери на първичен достъп, които са профилирани в основаването на устойчиви входни точки, които по-късно продават на други незаконни групи. В същото време не са открити признаци за принадлежност към известни хакерски групи.
Особеност на тази скица е разчитането на междинни текстови файлове и многократното потребление на PowerShell скриптове за създаване на зареждащи устройства непосредствено в оперативната памет. Това усложнява процеса на разбор и разкриване. Компонентите са предпазени благодарение на механизма.NET Reactor, което в допълнение усложнява проучването на зловредния код.
Основният скрипт започва веригата откакто (вероятнo) потребителят взаимодейства със злоумишлен линк. След като зареди текстов файл във краткотрайната папка на системата, PowerShell скриптът ревизира неговия размер и целокупност. Ако данните са непълни, процесът се стопира и се инициира наново евакуиране. С тази инспекция се заобикаля спирането на осъществяването заради повърхностен или развален файл, което прави цялата скица по-устойчива.
Ако изискванията са изпълнени, се генерира идващият PowerShell скрипт, който дава отговор за извикването на.NET зареждащия модул, извличането на идващото равнище на злотворен програмен продукт и осъществяването на инспекции за виртуална среда или дебъгер. При този метод зловредният програмен продукт остава неразкрит за по-дълго време.
Освен това по време на офанзивата се прибавят спомагателни скриптове, отговарящи за наново пускане на изходния съставен елемент и опазване на контрола върху системата. Твърди се, че създателите на схемата съзнателно са построили модулна инфраструктура, която прави потребния товар еластичен, сложен за систематизиране и по-малко уязвим за неподвижен разбор.
Кампанията SHADOW#REACTOR показва висока степен на прозорливост – от потреблението на вградени принадлежности на Windows до непрекъснатото наблюдаване на коректността на всяка стъпка. Това я прави сериозна опасност за организациите, изключително когато отбраната на крайните точки е незадоволителна.
(function() { const banners = [ // --- БАНЕР 1 (Facebook Messenger) --- `