Миллионы компьютеров под угрозой из-за атаки через доверенное ПО

Специалисты в области кибербезопасности вновь обратили внимание на ArmouryLoader, который стал одним из самых сложных вредоносных загрузчиков в последнее время. Его архитектура демонстрирует продуманный подход к обходу защитных механизмов и глубокую интеграцию в доверенное программное обеспечение.

Атакующие выбрали в качестве точки входа программу ASUS Armoury Crate, заменив библиотеку «ArmouryA.dll», что позволяет им использовать функцию freeBuffer для начала заражения. Вредонос начал распространяться в 2024 году и с тех пор стал многоступенчатой платформой для доставки различных троянов, таких как SmokeLoader и CoffeeLoader.

ArmouryLoader обеспечивает эскалацию привилегий и скрытное закрепление в системе, используя OpenCL, что усложняет его обнаружение в виртуальных средах. Он применяет множество методов обфускации, таких как вставка лишних инструкций и подделка стека вызовов, что делает анализ особенно трудным.

Загрузчик состоит из восьми стадий, каждая из которых выполняет специфические задачи. Например, первая активирует шелл-код, а последующие стадии занимаются декодированием полезной нагрузки с помощью каскадных XOR-петель. Механизмы закрепления в системе осуществляются через создание запланированных задач, что позволяет скрывать вредоносные файлы от пользователей.

Отчет компании Antiy указывает на наличие уникального OpenCL-дешифратора, использующего XOR-операции для расшифровки шелл-кода. Поведение ArmouryLoader соответствует множеству техник из матрицы MITRE ATT&CK.

Помогите проекту, поделитесь с друзьями ;)

Добавить комментарий