СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.05.2025
#ИБ

Новый метод обфускации: хакеры скрывают вредоносное ПО

Новый метод обфускации: хакеры скрывают вредоносное ПО

Источник: unit42.paloaltonetworks.com

В результате недавних кампаний по распространению вредоносного программного обеспечения стало известно о новом методе обфускации, используемом хакерами для сокрытия своих действий в ресурсах bitmap, встроенных в 32-разрядные приложения. Данный метод основывается на стеганографии, благодаря чему помогает злоумышленникам обходить системы безопасности.

Многоэтапный процесс запуска

Скомпрометированные приложения запускают многоэтапный процесс, который включает в себя следующие шаги:

  • Извлечение вредоносной полезной нагрузки
  • Деобфускация содержимого
  • Загрузка дополнительной вредоносной программы
  • Запуск окончательного исполняемого файла

Период распространения вредоносных кампаний

Анализ показывает, что вредоносное ПО, полученное в результате недавних кампаний по рассылке вредоносного спама (malspam), может быть восстановлено из исходного ресурса bitmap. Эти кампании проводились:

  • С конца 2024 года по начало 2025 года
  • В основном против финансовых организаций в Турции
  • Также атакованы логистические сектора в Азии

Общее количество распространенных вредоносных электронных писем превысило 250, при этом темы писем адаптировались к родным языкам целевых регионов.

Легитимность через обман

Исследованный образец вредоносного ПО представляет собой исполняемый файл Windows, который часто связывается с закупочной деятельностью или конкретными финансовыми транзакциями, что значительно повышает его легитимность в глазах пользователей.

Методы обфускации

Статья также рассматривает различные методы обфускации, использованные в рамках сетевых приложений. К ним относятся:

  • Обфускация метаданных
  • Замена кода операции
  • Удаление украденных байтов
  • Обфускация потока управления
  • Обфускация на основе виртуализации
  • Шифрование строк
  • Генерация динамического кода

Эти методы могут использоваться как по отдельности, так и в комбинации, что делает процесс реверс-инжиниринга ещё более сложным.

Ключевая роль компонента .NET

Детальное изучение конкретного образца вредоносного ПО, идентифицированного по его хэшу SHA-256, показывает, что метод InitializeComponent() в классе .NET играет важную роль в деобфускации и загрузке вредоносного битового ресурса.

Заключение

Конечная цель данной обфускации — облегчить запуск известных семейств вредоносных программ, таких как Agent Tesla variants, XLoader и Remcos RAT, получая таким образом несанкционированный доступ к системам жертв.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: