Хакеры освоили технику скрытия вредоносного кода внутри журналов событий Windows

Киберпреступники стали практиковать новую технику сокрытия вредоносного кода — внутри журналов событий операционной системы Windows. Об обнаружении нового типа атак сообщили специалисты «Лаборатории Касперского».

Источник изображения: Darwin Laganzon / pixabay.com

Методика, применяющаяся злоумышленниками, основана на хранении в журнале событий Windows зашифрованного shell-кода — набора машинных команд, позволяющего получить доступ к командному интерпретатору ОС и выполнить вредоносный код. При этом за первичное заражение системы отвечают исполняемые файлы из RAR-архива, скачиваемого жертвой. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка сразу несколькими троянцами для удалённого управления заражёнными устройствами.

Отмечается, что эксперты «Лаборатории Касперского» впервые сталкиваются с фактом хранения вредоносного кода внутри журналов событий Windows, затрудняющего его обнаружение антивирусными программами и позволяющего злоумышленникам достигать своих целей.

Во избежание неприятностей эксперты по IT-безопасности призывают пользователей быть предельно внимательными и не скачивать файлы из сомнительных источников.

Более подробно о вредоносной кампании с использованием журналов событий Windows можно узнать на информационном сайте Securelist by Kaspersky по этой ссылке.