Platforma Microsoftu dostarczała złośliwe oprogramowanie
Cyberprzestępcy za pomocą Microsoft Build Engine (MSBuild) skompilowali złośliwy kod na maszynach ofiar. Napastnicy wykorzystali do ataku trudny do wykrycia przez systemy bezpieczeństwa malware bezplikowy
MSBuild jest platformą programistyczną firmy Microsoft o otwartym kodzie źródłowym, która służy do opracowywania aplikacji. To narzędzie może tworzyć programy w dowolnym systemie Windows, jeśli zostanie dostarczone z plikiem projektu schematu XML informującym go, jak zautomatyzować proces kompilacji (kompilacja, pakowanie, testowanie i wdrażanie).
Badacze z Anomali Threat Research odkryli, iż cyberprzestępcy przygotowali złośliwe ładunki za pomocą Microsoft Build Engine umieszczając je w środku pliku konfiguracyjnego XML. Analitycy Anomali Threat przyznali, że choć nie potrafili określić metody dystrybucji pliku proj., jego celem było uruchomienie trojanów Remcos lub RedLine Stealer. Cyberprzestępcy zapoczątkowali atak w ubiegłym miesiącu i byli aktywni jeszcze we wtorek, dwa dni przed ujawnieniem kampanii przez Anomali Threat Research. Po zainstalowaniu trojana RAT w systemie docelowym, może on być wykorzystany do zbierania poświadczeń, migawek ekranu, rejestrowania naciśnięć klawiszy czy wyłączania antywirusa chroniącego przed złośliwym oprogramowaniem.
Korzystanie z narzędzia programistycznego MSBuild firmy Microsoft przez cyberprzestępców jest wyjątkowo niebezpiecznym procederem, ponieważ złośliwe pliki są ładowane bezpośredniego do pamięci atakowanego komputera.
Bezplikowe szkodliwe oprogramowanie nie zapisuje na urządzeniach ofiar rzeczywistych plików, a na dyskach twardych zainfekowanych urządzeń nie pozostawia fizycznych śladów po złośliwych ładunkach. Nie wszystkie programy antywirusowe radzą sobie z wykrywaniem tego typu zagrożeń. Dlatego podczas wyboru aplikacji bezpieczeństwa warto zapoznać się z wynikami niezależnych badań przeprowadzanych przez AV-Test czy AV-Comparatives właśnie pod kątem wykrywalności bezplikowego malware’u. - tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora Bitdefender w Polsce.
Według VirusTotal próbki złośliwego oprogramowania użyte w kampanii ujawnionej przez Anomali Threat Research nie są wykrywane, albo są odnajdywane przez nieliczne silniki chroniące przed złośliwym oprogramowaniem.
Jak wynika z raportu WatchGuard Internet Security opublikowanego pod koniec marca, dostawa bezplikowego szkodliwego oprogramowania odnotowała w latach 2019-2020 wzrost o 888 proc.
Czytaj też: Holandii grozi utrata suwerenności cyfrowej
Mat.Pras./KG