Поделиться
Вредоносный загрузчик начали распространять с помощью файлов векторной графики
Формат SVG, который большинство браузеров рассматривают как рядовой сетевой контент, не представляющий угрозы, начали использовать для доставки вредоносных программ. Речь идёт, в частности, о загрузчике GUloader, который и так славится скрытностью.
Рядовой веб-контент
Эксперты McAfee Labs отметили очередную кампанию распространения вредоноса - на этот раз посредством файлов SVG.
SVG - общераспространённый формат векторной графики, который позволяет создавать интерактивные элементы при помощи JavaScript и CSS. Современные браузеры - Chrome, Firefox и Edge, а также некоторые графически редакторы поддерживают этот формат по умолчанию. Браузеры рассматривают SVG-файлы как стандартный и доверенный веб-контент. Чем и пользуются злоумышленники.
Заражение начинается с того, что пользователю по почте присылается файл с расширением SVG, содержащим активный элемент JavaScript, который создаёт в системе ZIP-файл, а в нем, в свою очередь, скрывается файл Windows Script (WSF). Обфускация значительно затрудняет анализ этого скрипта. Но точно известно, что после его запуска вызывается команда PowerShell, которая устанавливает соединение с вредоносным доменом и запускает располагающийся там контент, в том числе shell-код, встраиваемый в приложение MSBuild.
После встраивания в легитимный процесс, shell-код осуществляет проверку, не запущен ли он в среде анализа и отладки, а также модифицирует ключ системного реестра, чтобы обеспечить себе устойчивое присутствие в системе.
И уже после этого осуществляется скачивание и запуск GUloader или его вариаций.
Скрытная угроза
Сам по себе вредонос GUloader печально знаменит своей скрытностью и способностью обходить стандартные средства защиты благодаря полиморфному коду (что означает возможность постоянно менять структуру) и шифрованию.
«Это означает, что эта программа представляет повышенную угрозу для потенциальных жертв; само название подразумевает, что GUloader - средство скрытной доставки вредоносов в целевую систему», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. По его словам, использование файлов SVG в качестве средства распространения вредоноса - новаторский метод, который может причинить немало проблем: файлы векторной графики в список потенциально опасных форматов до сих пор не попадали. «Хотя в целом в использовании графических файлов для сокрытия вредоносов нет ничего нового, просто обычно используются растровые форматы», - подытожил Михаил Зайцев.
По данным компании SpiderLabs, в настоящее время наблюдается всплеск активности GUloader, что, скорее всего, прямо связано с обкаткой нового метода компрометации.
Короткая ссылка
