Исследователи безопасности выявили кампанию вредоносного ПО VOID#GEIST, которая угрожает кибербезопасности, используя батч-скрипты для доставки троянов XWorm, AsyncRAT и Xeno RAT. Эта угроза стоит на переднем крае современных кибератак и предостерегает пользователей от недостатков их систем безопасности.
Новый подход к распределению вредоносного ПО
VOID#GEIST представляет собой сложную многоступенчатую атаку, использующую обфусцированные скрипты для выполнения вредоносных действий. Исследователи из Securonix отмечают, что такая схема позволяет злоумышленникам избежать обнаружения, поскольку скрипты напоминают обычные действия администратора.
Как это работает
Первая стадия начинается с загрузки батч-скрипта с домена TryCloudflare, который рассылается через фишинговые электронные письма. После запуска скрипт активирует законные действия, отвлекая пользователя от происходящих атак. Используя права текущего пользователя, злоумышленники избегают повышения привилегий и проникают глубже в систему.
Исследователи подчеркивают, что применение таких техник минимизирует риски обнаружения со стороны программ безопасности. "Это решение снижает вероятность генерации сигналов тревоги, так как не изменяет системный реестр и опирается на обычные действия пользователей", — констатируют исследователи.
Потенциальные угрозы для пользователей
Для организаций это ясный сигнал о необходимости повышения уровня кибербезопасности. Внедрение систем мониторинга и обнаружения таких атак может предотвратить кибератаки, возникающие из-за простых недочётов, таких как открытие фишинговых писем. Компании должны проверять все сценарии использования скриптов и обучать сотрудников обращению с электронными письмами.
Следующий шаг для исследователей и компаний — интенсивное наблюдение за подобными атаками, чтобы адаптировать свои защитные меры к новым типам угроз.
