Троян, криптостилер и майнер в дебаггере dnSpy: хакеры продолжают атаковать ИБ-экспертов

В начале 2021 года небольшая группа хакеров из КНДР завела блог по теме исследований в области ИБ, выложила там ряд любопытных материалов и под предлогом проведения совместного исследования заманила ИБ-экспертов на зараженные ресурсы. Выжимку из отчета группы анализа угроз Google (TAG) по этому инциденту вы найдете по ссылке.

На этот раз другие злоумышленники атаковали исследователей и разработчиков кибербезопасности, распространяя вредоносную версию популярного приложения-дебаггера dnSpy.net. Программа содержала в себе похитители криптовалюты, трояны для получения удаленного доступа к устройству и майнеры. Хакеры создали копию сайта оригинальной программы и вывели его в топ поисковой системы Google (помимо этого сайт присутствовал в поисковой выдаче Bing, Yahoo, AOL, Yandex и Ask.com).

Когда вредоносная версия приложения запускается, оно выполняет ряд команд, которые создают запланированные задачи, выполняемые с повышенным приоритетом: отключает Защитник Майкрософт; использует bitsadmin.exe для загрузки curl.exe в %windir%\system32\curl.exe; использует curl.exe и bitsadmin.exe для загрузки различных полезных нагрузок в папку C:\Trash и их запуска; отключает контроль учетных записей пользователей.

Источник: bleepingcomputer.com