СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27.04.2025
#ИБ#Инфра

Новая угроза: Horusprotector изменяет тактику распространения вредоносного ПО

Новая угроза: Horusprotector изменяет тактику распространения вредоносного ПО

Источник: asec.ahnlab.com

Недавние исследования в области кибербезопасности выявили тревожные изменения в тактике распространения вредоносных программ, сосредоточенных на ПО под названием Horusprotector. Эволюция методов атаки ставит под угрозу безопасность пользователей и организаций, так как новые подходы позволяют избежать выявления и блокировки.

Что нового в Horusprotector?

В отличие от предыдущих версий, в которых конечная полезная нагрузка загружалась с серверов управления (C2) размером около 10 КБАЙТ, текущая версия Horusprotector характеризуется следующими изменениями:

  • Размер вредоносного кода увеличился до 1,34 МБ.
  • Вредоносный код теперь упаковывается непосредственно в файл VBE.
  • Тactics изменения значительно усложняют процесс обнаружения.

Принцип действия и механизм атаки

Принцип действия Horusprotector включает внедрение в целевой процесс, обозначенный как GSNGTOQWOKOPCEL. В этом процессе используется загрузчик DLL в кодировке Base64, который активируется с помощью сценария PowerShell. Далее происходит:

  • Создание дочернего процесса под названием “regasm.exe”.
  • Расшифровка конечной вредоносной программы, известной как XLOADER, связанного с кражей данных.

Уязвимые места и рекомендации

Horusprotector работает как минимум с 2024 года, распространяя различные вредоносные программы, в первую очередь, через фишинговые электронные письма. Основная тактика заключается во внедрении вредоносного файла VBE в документы Microsoft Office, используя следующие уязвимости:

  • Уязвимости в редакторе формул Microsoft Office.
  • Отсутствие адекватных обновлений безопасности у пользователей.

Учитывая серьезность ситуации, пользователям настоятельно рекомендуется проявлять осторожность при работе с электронными письмами с вложениями из ненадежных источников. Кроме того, организации и частные лица должны:

  • Обеспечить актуальность всех продуктов Office.
  • Обратить особое внимание на уязвимости, связанные с редактором формул.

Оставаясь бдительными, пользователи могут существенно снизить риск заражения вредоносными программами, такими как Horusprotector.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: