ModiLoader: Новая угроза через скрытые CAB-файлы

ModiLoader: Новая угроза через скрытые CAB-файлы

Недавние исследования выявили появление сложной вредоносной программы, известной как ModiLoader (DBatLoader). Этот вид киберугрозы использует новые методы распространения и маскировки, что делает его особенно опасным для организаций и частных пользователей.

Что такое ModiLoader?

ModiLoader представляет собой вредоносную программу типа загрузчика, которая маскируется под расширение *.cmd. Однако на самом деле это сложный инструмент, использующий формат сжатого заголовка CAB для создания и выполнения вредоносного кода.

Методы уклонения от обнаружения

Одной из ключевых особенностей ModiLoader является его способность уклоняться от средств защиты почты. Злоумышленники изменяют заголовок вложения, чтобы избежать обнаружения. Например, хотя сжатый файл выглядит как обычный CAB-файл с волшебным заголовком MSCF, есть подозрения, что в начале файла был вставлен заголовок изображений PNG. Это может быть попыткой обойти механизмы фильтрации файлов и избежать автоматического сканирования.

Как это работает?

При распаковке сжатого файла исследователи обнаружили:

  • Смешение допустимых файлов изображений
  • Вредоносные пакетные файлы *.cmd, созданные в формате сжатия MS Windows (CAB)

Это сочетание безобидного контента и вредоносных скриптов позволяет обмануть системы безопасности и ускользнуть от внимательных глаз традиционных методов обнаружения.

Возрастающая изощренность киберугроз

Использование пакетных файлов для доставки вредоносных программ само по себе не ново. Тем не менее, инновационное применение формата CAB для сокрытия и выполнения вредоносной полезной нагрузки демонстрирует растущую изощренность хакеров. Используя нюансы форматов файлов и заголовков, они увеличивают вероятность успешного проникновения в целевые системы.

Рекомендации для организаций

С учетом новых угроз, таких как ModiLoader, крайне важно для организаций:

  • Поддерживать бдительность в сфере кибербезопасности
  • Регулярно обновлять и адаптировать средства защиты
  • Обучать сотрудников о новейших методах кибератак и их предотвращения

Оставаясь информированными и активно применяя методы обеспечения кибербезопасности, предприятия могут повысить свою устойчивость к современным угрозам и защитить конфиденциальные данные и системы от компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: