В современном мире киберпреступники постоянно совершенствуют свои методы для распространения вредоносного программного обеспечения. Одним из популярных способов является использование поддельных установочных файлов легитимных приложений, таких как мессенджеры, социальные сети и браузеры.
Эта техника позволяет злоумышленникам незаметно внедрять вредоносные программы в системы пользователей.
Недавно исследователи из компании Cyberint обнаружили новый вредоносный код под названием UULoader, который активно используется хакерами для взлома, включая удаленные персональные компьютеры (RAT) и утилиты для кражи учетных данных. UULoader распространяется через фальшивые установщики популярных приложений, нацеленные на пользователей, говорящих на корейском и китайском языках – пользователей из Азии.
Особенность UULoader заключается в том, что его ключевые файлы упакованы в архив Microsoft Cabinet (.cab). Внутри этого архива находятся два исполняемых файла (.exe и .dll) с удаленными заголовками. Один из этих файлов уязвим для метода DLL Sideloading, позволяющего загружать вредоносную DLL-библиотеку, которая запускает финальную стадию атаки.
На заключительном этапе загружается замаскированный файл «XamlHost.sys», который на самом деле является инструментом удаленного доступа, таким как Gh0st RAT или Mimikatz. Эти мощные утилиты позволяют злоумышленникам получить полный контроль над зараженной системой и похитить конфиденциальные данные.
Установочные MSI-файлы также могут содержать Visual Basic Script (.vbs), запускающий легитимный исполняемый файл, например, от Realtek. Некоторые образцы UULoader используют файл-приманку, чтобы отвлечь внимание жертвы, например, фальшивое обновление Google Chrome. Этот трюк призван убедить пользователя в безопасности установки.
Стоит отметить, что ранее поддельные установщики Google Chrome уже использовались для распространения Gh0st RAT. В прошлом месяце компания eSentire сообщала об атаке, нацеленной на китайских пользователей Windows, в ходе которой применялся фальшивый сайт Google Chrome.
Вредоносная кампания по распространению UULoader и подобных зловредов наглядно демонстрирует, как киберпреступники продолжают совершенствовать методы обмана, используя легитимные программы для скрытного внедрения вредоносного ПО. Это серьезная угроза, так как даже привычные приложения могут стать инструментами хакеров для кражи данных и других атак.
Как защититься от маскировки вредоносных программ
Чтобы обезопасить себя от таких атак, необходимо соблюдать базовые правила кибергигиены.
- Загружайте программы только с официальных сайтов разработчиков или из проверенных источников. Будьте осторожны с подозрительными ссылками в Интернете и сообщениях.
- Регулярно обновляйте операционную систему и установленные приложения. Разработчики часто выпускают обновления для устранения уязвимостей, которые могут использовать злоумышленники.
- Используйте надежное антивирусное решение и регулярно проводите сканирование системы. Современные антивирусы способны обнаруживать и блокировать многие виды вредоносного ПО.
- Будьте бдительны при установке программ. Внимательно читайте лицензионные соглашения и разрешения, которые запрашивает приложение. Отклоняйте подозрительные запросы.
- Регулярно делайте резервные копии важных данных. В случае заражения это поможет восстановить систему с минимальными потерями.
Соблюдение этих простых мер предосторожности значительно снижает риск заражения вредоносными программами, замаскированными под легитимные приложения. Будьте бдительны и доверяйте только проверенным источникам при загрузке и установке программ на свои устройства.
