Специалисты Kaspersky обнаружили новые способы применения ВПО Prilex
«Лаборатория Касперского» обнаружила новые версии ВПО Prilex, нацеленного на PoS-терминалы. Вредоносная программа Prilex была создана в 2014 году для банкоматов, а в 2016 году переключилась на торговые терминалы. Одна из версий позволяет применять криптограммы EMV для проведения GHOST-транзакций даже с использованием кредитных карт, защищенных технологией CHIP и PIN. В этих атаках образцы Prilex устанавливались в систему как исполняемые файлы RAR SFX, которые затем извлекали все необходимые VBS-файлы. Из установленных файлов можно выделить три модуля: бэкдор, в котором для данной версии изменились только C&C-серверы, используемые для связи, а также стиллер-модуль и модуль загрузчика.
Представлено исследование кибератак, основанных на вредоносных DLL
ИБ-подразделение Unit 42 компании Palo Alto Networks провело исследование механизмов кибератак, основанных на использовании вредоносных динамических библиотек DLL. В исследовании рассматриваются возможности использования неподписанных вредоносных DLL в качестве инструмента для доставки полезной нагрузки в целевую систему. Также отмечается, что наиболее распространенными путями для загрузки вредоносных библиотек DLL являются папки и подпапки ProgramData и AppData и каталоги пользователей.
Серверы Microsoft SQL были взломаны с использованием ВПО FARGO
Аналитиками ASEC была замечена новая волна атак, в ходе которых на уязвимые серверы Microsoft SQL было установлено вредоносное ПО FARGO. Заражение начиналось с загрузки исполняемого .NET-файла на скомпрометированную машину. После запуска программа загружала дополнительные компоненты, генерировала и запускала BAT-файл, который завершал определенные процессы и службы. Интересно, что FARGO также противодействовало «анти-шифровальщику» Raccine, удаляя его ключи из реестра вместе с ключами другого ПО, в том числе служб резервного копирования. После этого вредонос шифровал файлы с определенными расширениями.