Блог IT для Windows

Все про Windows, программное обеспечение, информационную безопасность, программирование

Злоумышленники эксплуатируют уязвимость в WinRAR

E-mail Печать PDF
(8 голоса, среднее 4.63 из 5)

Специалисты Quihoo 360 заметили первую вредоносную кампанию, использующую для внедрения вредоносного ПО на компьютеры пользователей.

Специалисты обнаружили электронную рассылку, распространяющую RAR архив, который при распаковке устанавливает на компьютер инструмент Cobalt Strike Beacon, применяемый злоумышленниками для получения удаленного доступа к компьютеру.

Как показал анализ, проведенный экспертами ресурса BleepingComputer, при распаковке вредоносный архив извлекает файлы в папку автозагрузки Windows. Если на устройстве включена функция контроля учетных записей пользователей (User Account Control, UAC), WinRAR отобразит сообщение об ошибке, однако в случае, если UAC отключен или архиватор работает с правами администратора, вредоносные файлы будут извлечены в C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe и при следующей загрузке системы выполнится исполняемый файл CMSTray.exe.

При запуске CMSTray.exe копируется в папку %Temp%\wbssrv.exe, а затем выполняется файл wbssrv.exe. Последний подключается к серверу и загружает различные файлы, в том числе инструмент Cobalt Strike Beacon. После загрузки вредоносной DLL атакующие получат возможность удаленно подключаться к компьютеру, выполнять команды и инфицировать другие компьютеры в сети.

Подробнее: https://www.securitylab.ru/news/498108.php


 

Добавить комментарий


Защитный код
Обновить

Праздники и история IT

Кто на сайте

Сейчас 25 гостей онлайн

Статистика

Яндекс.Метрика

Экспорт RSS

feed-image RSS

Поиск по сайту

Голосования

Какой операционной системой вы пользуетесь
 
Каким антивирусом вы пользуетесь
 

Мы в Яндекс.Дзен

Блог IT

Мы Вконтакте


Форум программистов и сисадминов Киберфорум