Мой кабинет

Шифровальщик SyncCrypt скрывается в JPG-файлах


0
27
Август 17, 2017

Лондон, Великобритания — 17 августа 2017 г. — В начале этого месяца исследователи из Kaspersky Lab отметили, что стеганография становится все более привлекательной техникой для злоумышленников и привели список вредоносного ПО, в котором используется эта техника. На этой неделе исследователь из Emsisoft обнаружил новый вирус-шифровальщик, использующий стеганографию в фазе доставки. Вирус SyncCrypt распространяется через спам-рассылку, письма содержат вложенный Windows Script File (WSF). Когда пользователь запускает скрипт, тот загружает jpg-файл, содержащий встроенный zip-архив. Практически все антивирусные программы не воспринимают эту картинку как угрозу, а потому не препятствуют загрузке. Затем скрипт извлекает из встроенного в картинку архива компоненты вируса-шифровальщика и создает задачу для его запуска. SyncCrypt шифрует файлы используя AES-шифрование, к зашифрованным файлам добавляется расширение .kk.

Злоумышленники все чаще используют стеганографию во вредоносном ПО на разных стадиях, это позволяет им эффективно проникать сквозь антивирусную защиту и скрывать коммуникации с управляющими серверами. Для снижения рисков, связанных с этой угрозой, необходимо проводить для сотрудников тренинги по повышению информированности в вопросах безопасности, так как направленный фишинг остается наиболее эффективным методом доставки вредоносного ПО. Также вы можете загрузить контент для вашей SIEM из S.M.A. cloud, чтобы повысить возможности вышей системы обнаруживать скрытые угрозы. Кейс DNS Security Check поможет вам обнаружить скрытые коммуникации через DNS-туннелирование.

Related Posts