Вредоносные JPEG-файлы используют для установки трояна в Windows
Фото с сайта pixabay.com
Хакеры начали использовать новую схему атак на компьютеры с Windows, маскируя вредоносные файлы под изображения в формате JPEG. Исследователи в области кибербезопасности назвали эту кампанию Operation SilentCanvas.
Пользователям рассылают фишинговые письма с файлом sysupdate.jpeg. Сообщения могут выглядеть как уведомления об обновлении программного обеспечения или ссылки для обмена файлами. Несмотря на расширение .jpeg, внутри файла отсутствуют данные изображения. Вместо этого в нем содержится PowerShell-скрипт.
После запуска скрипт создает промежуточную среду и загружает дополнительные вредоносные компоненты с серверов злоумышленников. Специалисты компании Cyfirma выяснили, что затем на устройство устанавливается модифицированная версия программы ConnectWise ScreenConnect.
Оригинальный ScreenConnect является легальным инструментом удаленного доступа, который используется в корпоративных сетях. Однако троянизированная версия позволяет злоумышленникам скрытно получить полный доступ к компьютеру. При этом программа может выглядеть как доверенное ПО.
По данным исследователей, вредоносная система позволяет следить за экраном и микрофоном пользователя, записывать видео и передавать файлы через зашифрованный канал. Также схема способна обходить антивирусную защиту.
Одним из признаков заражения может быть появление программы удаленного доступа, которую пользователь самостоятельно не устанавливал. Кроме того, специалисты советуют обратить внимание на неожиданный запуск процессов csc.exe, cvtres.exe и ComputerDefaults.exe, сообщает Naked Science.
Больше новостей и эксклюзивных видео смотрите в канале Самара Онлайн 24 в MAX.
