CASINOJOY - Ставка На Успех! Проверь Свою Удачу!


Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Малварь загружает payload с paste-сайтов
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Малварь загружает payload с paste-сайтов

08.10.2020

Эксперты компании Juniper выявили многочисленные вредоносные кампании, которые используют для доставки полезной нагрузки paste-сайты (вместо обычных C&C-серверов). Таким образом хакеры прячут свой вредоносный код у всех на виду и, в числе прочего, экономят на инфраструктуре.

Исследователи пишут, что злоумышленники используют легитимные paste- сервисы, подобные paste.nrecom[.]net, для размещения своих пейлоадов. К примеру, этот сервис основан на опенсорсной имплементации Pastebin, которая носит название Strikked, и работает с 2014 года.

Хотя сайт поддерживает только обычные текстовые файлы, а не бинарники, как известно, любые данные, включая двоичные, можно представить в виде ASCII. Именно так и поступили операторы обнаруженной специалистами малвари.

«Поскольку этот сервис работает только с текстом, можно подумать, что там нельзя разместить  исполняемый файл (двоичные данные), — рассказывает сотрудник Juniper Threat Labs Пол Кимайонг (Paul Kimayong). — Однако двоичные данные можно представить в виде текстового файла, просто закодировав его. Обычный метод кодирования в таком случае подразумевает использование base64. Именно это и сделали злоумышленники».

Более того, перед использованием base64 двоичный пейлоад подвергся шифрованию XOR, чтобы добавить угрозе еще один уровень обфускации. Такие данные трудно расшифровать без знания правильного ключа XOR.

По данным аналитиков, для распространения зашифрованных пейлоадов paste-сайты используют операторы такой малвари, как Agent Tesla, W3Cryptolocker, Redline Stealer и LimeRAT.

Атака, эксплуатирующая paste-сайты, обычно начинается с фишингового письма, содержащего вложение, например документ, архив или исполняемый файл. Пользователя обманом вынуждают открыть такое вредоносное вложение, и загрузка малвари для следующих этапов атаки осуществляется с paste.nrecom[.]net. Также исследователи пишут, что наблюдали малварь, которая аналогичным образом прятала на paste-сайтах свои конфигурационные данные.

Эксперты рекомендуют администраторам отслеживать трафик с paste.nrecom, на случай, если тот окажется вредоносным. Исследователи с сожалением отмечают, что просто заблокировать подобные ресурсы не всегда возможно, из-за законных вариантов их использования.

Напомню, что недавно самый популярный paste-сайт в мире, Pastebin, внедрил две новые функции, которые вызвали волну критики со стороны ИБ-специалистов: Burn After Read (самоуничтожение) и Password Protected Pastes (защита паролем). Тогда ИБ-эксперты рекомендовали блокировать Pastebin и другие подобные сайты в корпоративных сетях, так как  всем известно, что ими злоупотребляют злоумышленники, а значит и относиться к таким ресурсам следует соответствующим образом.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Вирусы
Опубликовал: shellmann
Просмотров: 985
Проголосовало через SMS: 0
Ключевые слова: base64, juniper, password, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Арест участников REvil взволновал других преступников
  • Обнаружена malware MoonBounce, внедряющаяся в UEFI
  • Администратор кардерского форума UniCC и участник хак-группы The ...
  • Баг в Safari приводит к утечке данных
  • В Darknet закрывается кардерский маркетплейс UniCC
  • Хакеры взломали украинские правительственные сайты
  • Уязвимость на diia.gov.ua
  • Опубликован бесплатный дешифратор для вымогателя BlackByte
  • Zerodium покупает уязвимости в ExpressVPN, NordVPN и Surfshark
  • За взломом сайтов REvil стояли правоохранительные органы

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Предложения работы » разблокировать сбер аккаунт
  • Разное / Болталка » Re: Форум жив?
  • Разное / Болталка » Форум жив?
  • Разное / Болталка » С Новым 2022 Годом!
  • Взлом и безопасность / Программы » Re: Hasp ключ для ABC-4
  • Портал / Отзывы и предложения » Предлагаем партнерство вашему форуму.
  • Разное / Предложения работы » взлом почты
  • Разное / Предложения работы » Сервис Postman - 500 руб за получение писем и 10€ за пересыл...
  • Разное / Предложения работы » Re: Нужен Взлом сайта на DLE
  • Разное / Предложения работы » Re: Нужен Взлом сайта на DLE

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}